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, . ÉS VÉDÜNK! 


Kinek mi jut eszébe a biztonságról? 


ostani számunk fókusztémája a biztonság - számtalan érdekes szakmai cikk segítsé- 
gével merülünk mélyebbre ezen a területen, többféle megközelítésben: támadunk, 


védekezünk, megelőzünk, beavatkozunk, hibákat hárítunk el. Magazinunkban to- 





vábbra is legfontosabb célnak azt tartjuk, hogy olyan mélységű, minőségű és megközelítésű 
szakmai tartalom kerüljön olvasóinkhoz, amihez más forrásból - magyar nyelven - nemlehet ! Budai Péter 
hozzájutni. Microsoft Magyarország 
A tartalom magáért beszél (vagy legalábbis ír), ezért nem is arról, hanem a címlap születésé- 
nek hátteréről osztanék meg a Kedves Olvasóval néhány gondolatot. 
A címlap háttérfotóját és koncepcióját már az előző szám óta Lénárd Gábor (MVP) készíti: 
rengeteg időt és energiát szánt arra, hogy a témához illő, mégis újszerű ötlettel rukkoljon elő. 
Így ahelyett, hogy beértük volna az agyonhasznált zárak és lakatok ismétlésével, megpróbál 
tuk megfogni a biztonság lényegét. 
Vonatkoztassunk el rögtön egy kicsit az informatikától! A mindennapi életben a biztonság 
leginkább nyugalmat, kényelmet jelent legtöbbünk számára - szeretnénk biztonságban tudni 
szeretteinket, saját életünket, értékeinket, és úgy általában mindent, ami számunkra bármi 
miatt fontos. 
Ha valami pótolhatatlan vagy számunkra különösen értékes - például az élet vagy valami- 
lyen nem reprodukálható, beszerezhető tárgy -, annak minden áron történő megóvására és 
gyakran birtoklására törekszünk. Ha valami másolható, elleshető, lehallgatható, akkor általá- 
ban az információ biztonságáról beszélhetünk. Ne felejtsük el, hogy a rendelkezésünkre álló 
idő is véges - és ki ne szeretné azt a lehető legboldogabban, legnyugodtabban eltölteni - vagy- 
is beszélhetünk a zavartalanság és a privát szféránk biztonságáról is. 
Az információ biztonságára és értékeink megóvására tett kísérleteink gyakran kényelmünk 
rovására mennek. Ezzel kapcsolatban szokott felmerülni az a jogos kérdés, hogy a biztonság 
vagy a korlátozásoktól mentes élet felé billenjen-e inkább a mérleg nyelve. TIermészetesen 
nincs rá univerzális válasz. 
A biztonság terén a legnagyobb értékkel az bír, amikor valamilyen technológia vagy szerve- 
zet úgy képes védeni minket, hogy közben a nyugalmunkat sem sérti. Mindezt észrevétlenül, 
a háttérből teszi, és tényleg csak akkor lép közbe (de akkor azonnal és hatásosan), amikor fel 
tétlenül szükséges - és akkor akár az életünket is köszönhetjük neki. 
Nem véletlen tehát a címlapon a biztonsági öv: hiszen az is és a légzsák is pontosan ezt fe- 
jezi ki - és mint a Magazinban látni fogjuk, a ma elérhető Microsofttechnológiák is hasonló 


szemlélettel készülnek. 
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Minőségi Cisco tanfolyamok 


Intenzív továbbképzések a legnépszerűbb témákban 
Minősített, tapasztalt oktatói csapat , ! : 19) j 0 a 


Teljes, élő Cisco eszközpark és szimulátorok CISCO 
Több mint 7 éve a Cisco oktatási piacon... 
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Kiemelt ajánlataink 2008-ra 


Cisco 8. Microsoft alapok. Kezdő rendszergazda csomag 
Windows Server 2003 üzemeltetési ismeretek t CCNA ismeretek, 
10 nap összesen 470.000 Ft helyett csak 369.000 Ft! 

(2008 január végétől) 








HAL tie egnek TT eki d 
Cisco CCNP upgrade tanfolyam - most csak 249.000 Ft! 
(2008. február) 


EY O TETTEL al eg LTozy Zene eT Tel 
Cisco hálózati mérnök képzéssorozat 209 kedvezménnyel, 
már 835.000 Ft-tól (2008 január végétől) 


A feltüntetett árak nettó árak, melyeket 2094 ÁFA terhel. További információk weboldalunkon! 





A vezető telekommunikációs cégek minket választottak. És Ön? 


ev) SZÁMALK Továbbképzés - Telefon: 203-0304/4122 mellék 
mama, wWww.szamalk.hu/jtisza/ cisco 
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VISTA 


BIZTONSÁGA: 
10 TÉVHIT 


ÉS AZ IGAZSÁG 


Egyértelműen a Vista a legbiztonságosabb Windows-verzió, amelyet 


a Microsoft valaha kiadott. Ennek ellenére sok olyan híresztelés 


látott napvilágot, amely szerint még a Windows XP SP2 szintjét sem 


éri el. Egyes tunkciókról pedig olyan tévhitek terjedtek el, amelyek 


a hamis biztonság illúzióját kelthetik. 


Cikkünkben ezeket szeretnénk tisztázni. 


Microsoft 2002-ben jelentette be a Megbízható számítástechnika (Irustworthy 

A Computing) kezdeményezését, válaszlépésként a Windows platformot ért, minden- 
napivá vált támadások miatt. A kezdeményezés célja, hogy valamennyi megjelenő 
Microsofttermék tervezésénél (Secure by Design), alapértelmezett beállításainál (Secure by 
Default), telepítésénél (Secure in Deployment) és a kapcsolódó leírások, ismertetők készítésénél, 
visszajelzések gyűjtésénél (Communication) a biztonság folyamatosan szem előtt legyen tartva. 
A Windows XP még két évvel e kezdeményezés előtt jelent meg, ezért nem tudott teljes mér- 
tékben profitálni a paradigmaváltás előnyeiből, noha a 2004-es második javítócsomag jelentős 
lépést jelentett ebbe az irányba. A Windows Vista az első olyan operációs rendszer a Microsoft 
történetében, amely már a tervezésétől fogva a , Megbízható számítástechnika" filozófia figye- 
lembevételével készülhetett. A Vista esetében sok rendszerkomponens teljes átalakításon esett 
át (például a teljes hálózatkezelést újraírták), ami az új funkciók bevezetésén és a régi funkciók 
javításán túl lehetővé tette, hogy a rendszer biztonsága többé ne lehessen megkérdőjelezhető. 
A Vista számos olyan biztonságot növelő újdonsággal rendelkezik, amelyek nem léteztek 

a korábbiakban. Gondoljunk csak a kernelt érintő változásokra, az Address Space Layout 
Randomization bevezetésére, a hitelesítési újdonságokra, a Network Access Protectionre, a 
BitLockerre, az IPSec- és Windows Firewallújdonságokra, és még hosszan lehetne folytatni a 


felsorolást. 


[4 


Természetesen hosszabb időre lesz szükség 
ahhoz, hogy valamennyi Windows-felhaszná- 
ló tisztában legyen a Windows Vista összes 
biztonsági újdonságával, változásaival. 

Az informatikai szakemberek számára még 
ennél is sokkal fontosabb, hogy ismerjék a 
leggyakoribb tévhiteket, amelyek a rendszer- 
rel kapcsolatban élnek az emberek fejében 
- hiszen egy rendszer tervezésekor, bevezeté- 
sekor és üzemeltetésekor ezek kulcsfontossá- 


gúak lehetnek. 


1. A rendszergazda-fiók 
alapértelmezetten le van tiltva? 

Igaz, hogy a Vista letiltja az alapértelmezett 
Rendszergazda- (Administrator) fiókot, de 
csak akkor, ha vannak más aktív rendszergaz- 


dai (Administrators) csoporttagsággal rendel 


Microsoft TechNet 







KE CÍMLAPON 


kező fiókok is rendszerünkben - ezzel védi a 
Vista a rendszert a beépített Rendszergazda 
elleni támadásoktól -, hiszen ennek a fiók- 
nak a neve mindenki számára ismert, és a 
jelszava is gyakran egyszerű - vagy akár üres 
is lehet -, így könnyen feltörhető. Egy új 
Vista esetén az első - telepítéskor - felvett 
felhasználói fiók bekerül a Rendszergazdák- 
csoportba (ugyanúgy, ahogy Windows 2000 
és Windows XP esetén), de a továbbiak nem. 
Amint felveszik a következő rendszergazda 
csoporttagságú felhasználót, a Vista letiltja 
az alapértelmezett Rendszergazda-fiókot. 
Fontos kiemelni, hogy az alapértelmezet 
ten létrejövő Rendszergazda- (Administrator) 
fióknak nincs jelszava. Ennek javasolt min- 
denképpen egy bonyolult jelszót adni, még 


akkor is, ha letiltás a sorsa. 


2. A User Account Control 
sem csökkenti a szükséges 
rendszergazdák számát? 
A Windows-latformon rengeteg biztonsági 
probléma abból adódik, hogy a felhasználók 
rendszergazdai jogokkal futtatják az alkal 
mazásokat, noha erre az esetek többségében 
nincs szükség. 

Már Windows XP esetében is jóval kisebb 
a rendszer támadási felülete, ha a felhaszná- 


ló nem rendszergazdai jogokkal jelentkezik 


be. A ,standard" felhasználói jogokkal be- 


hoz képest indokolatlanul igénylik az admi- 
nisztrátori jogosultsággal való futást. 

A rendszergazdai jogosultság teljes hozzá- 
férést ad az operációs rendszerhez és a szá- 
mítógép minden komponenséhez, lehetővé 
téve olyan módosításokat, amelyek a rend- 
szert működésképtelenné tehetik, vagy kárt 
tehetnek más felhasználók adataiban. Vista 
előtt az elsődleges felhasználási modell az ad- 
minisztratív jogok meglétére épített, a szoft 
verfejlesztők többnyire feltételezték, hogy a 
programjuk elérhet és módosíthat akármi- 
lyen fájlt, regisztrációs adatbázis-bejegyzést 
vagy operációsrendszer-beállítást. 

További probléma az, hogy a felhasználók- 
nak időnként szükséges műveletek elvégzé- 
se, mint például programok telepítése, egyes 
rendszerbeállítások módosítása - idő meg- 
változtatása, tűztalport nyitása stb. — szimtén 
rendszergazdai jogokat igényelt. 

A felhasználói fiókok felügyelete (User 
Account Control - UAC) ennek a probléma- 
körnek a kezelésére született. A cél az volt, 
hogy a felhasználó , standard" jogokkal tud- 
jon futtatni minden alkalmazást, viszont azo- 
kat az alkalmazásokat, amelyek rendszergazdai 
jogokat igényelnek, egyszerűen lehessen enge- 
délyezni. Ez a következőt jelenti: függetlenül 
attól, hogy a felhasználó rendelkezik-e rend- 
szergazdai csoporttagsággal, a nevében elindí- 
tott alkalmazások automatikusan nem kapják 


meg ezt a rendszergazdai 





I you started this actian, continue. 


5 Computer Management Snapin Launcher 


Microsoft Windows 


(roi) CET) 


User Account Control helps stop unauthorized changes to your computer. 


4) Detaik 


A Secure Desktop-állapot 





jelentkező felhasználók nevében futtatott al 
kalmazások nem tudnak kárt tenni sem az 
operációs rendszerben, sem más felhasználók 
állományaiban. 

Azonban a Windows-platformra fejlesztett 


szoftverek sok esetben az ellátott funkciójuk- 
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jogkört (ez alól kivétel a 
beépített  Administrator- 
Rendszergazda fiók; rá 
nem érvényes az UAO). 
A felhasználónak külön 
kell 


rendszergazdai 


engedélyeznie aze 
amikor 
jogaival szeretne élni. Ez 
lehetőséget biztosít a fel 
használónak, hogy eldönt 
se: egy alkalmazás élhete 
ezekkel a jogokkal. 

Ami egyben azt is je- 
lenti, hogy a felhasználó 
minden esetben informá- 
ciót kap arról "hogy mi 
lyen rendszergazdai joggal futó alkalmazások 
indulnak el. 

Amikor egy felhasználó bejelentkezik, 
az UAC két security tokent hoz létre. Egy 
, normál" felhasználói tokent és egy mási 


kat, amely tartalmazza a rendszergazdai jo- 


Tr gessemzzney Í KK VZ- 7 
e ak 
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gokat. Egy elindított folyamat nem kapja 

meg a rendszergazdai jogokat, amennyiben 

a felhasználó a folyamat indulásakor nem 

engedélyezi azt az UAC felületén keresztül. 

A létrejött , normál" felhasználói token a 

következőkben különbözik a rendszergazdai 

tokentől: 

a Kilenc rendszergazdai szintű jog nincs 
benne. 

a A felhasználó integritási szintje Medium, 
High helyett. 

a Érvényes rá egy mindent tiltó SID. 

a Megjelenhet számára az UAC-engedélyező 
ablak (consent.exe). 

a A fájl és regisztrációs adatbázis virtualizá- 
cióját alkalmazni lehet rá. 

Ennek révén még a rendszergazdai jogokat 
amúgy birtokló felhasználó sem rendszergaz- 
dai jogokkal böngészi az internetet, vagy nyit 
meg egy potenciálisan veszélyes e-mailt. 

A Vista az UAC ellenére továbbra is rend- 
szergazdai jogot követel meg a rendszer szem- 
pontjából érzékeny műveletek elvégzésére. 

A szükséges rendszergazdai jogokkal ren- 
delkező felhasználók számának további csök- 
kentését a Vista többek között a következő 
módokon teszi lehetővé. 

a Sok feladat elvégzése a Vista esetében már 
nem igényel rendszergazdai jogokat, szem- 
ben a korábbi Windows-verziókkal (pél 
dául az időzóna megváltoztatása, a ve- 
zetéknélküli hálózat konfigurációja, az 
energiagazdálkodás beállításai, kritikus 
Windowsírissítések telepítése stb.). 

a A Vista lehetővé teszi a rendszergazdák 
számára, hogy meghatározzák, a nem rend- 
szergazdai jogú felhasználók milyen meg- 
hajtóprogramokat, eszközöket, ActiveX-ve- 
zérlőket telepíthetnek. Így a nem rendszer 
gazdai jogú felhasználók is telepíthetnek 
engedélyezett nyomtatókat, VPN-szoftve- 
reket stb. 

a Hálózati  alapkonfigurációk  elvégzésé- 
hez a felhasználót elegendő hozzáadni a 
Network Configurations Operators cso- 
porthoz. Ennek a csoportnak például jo- 
ga van az IP-címek megváltoztatásához, 
a DNS cache ürítéséhez, vagyis anélkül 
végezhetők el ezek a feladatok, hogy a fel 
használó Administrators csoporttagságára 
lenne szükség. 

an Az UAC fájlrendszer és a regisztrációs 
adatbázis virtualizációja, valamint a beépí- 


tett alkalmazáskompatibilitási sémák se- 


A 
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gítségével több, korábban rendszergazdai 
jogokat igénylő alkalmazást futtathatunk 
akár standard felhasználóval is. 
Összefoglalva, a Vista rengeteg lehetőséget 

tartalmaz, amelyek révén a felhasználók el 

végezhetik a feladataikat anélkül, hogy rend- 


szergazdai jogokra lenne szükségük. 


3. Csak rendszergazdák használják 
az UAC-elevációt? 

Az UAC-engedélyező ablakban nem adha- 
tunk meg , standard" felhasználói fiókot, hi 
szen egy ilyen fióknak nincsenek olyan jogai, 
amit az UAC-elevációval lehetne engedélyez- 
ni. Azonban az UAC-engedélyezés ettől még 
nem csak a Rendszergazdák-csoport tagjaira 
érvényes. Bármilyen fiók a Rendszergazdák, 
Biztonságimásolatfelelősök, Hálózati rend- 
szergazdák vagy Kiemelt felhasználók csopor- 
tokból szintén magasabb jogkörűnek számí- 
tanak, így e csoportok tagjaira is érvényes az 
UAC-eleváció. 

Például amennyiben egy felhasználói prog- 
ram futtatásához valamelyest eltérő jogokra 
van szükség, de nem akarunk rendszergazdai 
jogokat adni, a következőket tehetjük. Egy 
másik felhasználói fiókot hozunk létre, és 
hozzáadjuk a Kiemelt felhasználók (Power 
users) csoportjához - amely Vista esetében 
semmivel nem tartalmaz több jogot, mint 
a Users-csoport, csak kompatibilitási okok 
miatt maradt meg -, és ennek a csoportnak 
adjuk meg az alkalmazás futtatásához szük 
séges jogokat. Ezután, ha egy felhasználónak 
(akinek a fiókja csak ,standard" Users-cso- 
porttagsággal rendelkezik) szüksége van az 
alkalmazásra, akkor az indítás után meg- 
adhatja a korábbiakban felvett Power Users 
csoporttagságú fiók nevét és jelszavát, és azt 
gépeli be az JAC-engedélyezési ablakba. 


4. Csak négy integritási szint létezik? 
A folyamatok és más objektumok biztonsá- 
gi leíróiban is új SID-ek jelentek meg, ezek 
a Mandatory Integrity Level (IL) szintek. A 
jobbra lévő táblázatban láthatók a Windows 
Vistában definiált szintek. 

Az egyes objektumok integritási szintjei a 
System Access Control Listeken (SACL) tá- 
rolódnak. Az egyes folyamatok, szálak min- 
den esetben rendelkeznek integritásiszint-be- 
jegyzésekkel. A fájl- és regisztrációsadatbázis- 
bejegyzések, amennyiben nem rendelkeznek 


explicit IL-bejegyzéssel, implicit Medium IL 
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[cs] Command Prompt 


c:yindowsXSyustem322echo Hello TechNet? ? Technet.txt 
Access is denied. 


c:WindowuwsXSyustem322echo Hello TechNet? ? Technet.txt 
c:ssyindowsXSyustem322dir Technet.txt 

Uolume in drive C has no label. 

Volume Serial Number is 8E5C€-D3Ei 

Directory of C:WindowsXSyustem32 


2987.18.23. 17:38 
1 File(s2) 


17 Technet.txt 


id 


17 by 
8 DirC(s? 38 698 389 728 butes free 


c:syindowuwsXSyustem322dir Technet.txt 
Volume in drive C has no label. 
Volume Serial Number is 8E5C€-D3Ei 
Directory of C:WindowsXSyustem32 


File Not Found 


FNNSNNET 


zisba, hogy közben nem 
módosítják a valódi fájl 
rendszert és regisztrációs 
adatbázist. A fájlrendszeri 
írások esetében a rend- 
szermappákba (Windows, 
System32, Program Files, 
kivéve a rendszer által vé- 


dett .exe és .dll állomá- 


c:WyindowsXtSyustem322dir e:WsersMmatyasvAppbataNLocalirtualStoreyindowstSyuste 


m32 
Uolume in drive C has no label. 
Volume Serial Number is 8E5C€-D3Ei 


Directory of ec:MWsersMmatyas"AppDataMLocalyirtualStoretyindowuwstSyustem32 


2987.18.23. 17:38 XDIR? 
2087.19.23. 17:38 Ké pa sie 
2887.198.23. 17:38 17 Technet.txt 

1 File(s2 17 byutes 

2 DirCs? 38 691 458 888 byutes free 


c:WWindowusXSyustem322. 





Fájlrendszer-virtualizáció a gyakorlatban 


szint szerinti hozzáférésűek. Azok az objek- 
tumok, amelyeket Medium vagy magasabb 
integritási szintű folyamatok hoznak létre, 
Medium IL megjelölést kapnak. Azok az ob- 
jektumok, amelyeket Low integritási szintű 
folyamatok (például a védett módú Internet 
Explorer) hoznak létre, Low megjelölést kap- 
nak. Az integritási szintek ellenőrzése min- 
den esetben a Discretionary 


Access Control List (DACL) Szint 


- amely tartalmazza az objek- 


Untrusted 
tumhoz tartozó hozzáférési lis- 
tát - típusú ellenőrzések előtt Low 
történik. Egy folyamat vagy 
szál csak akkor nyithat meg —  Medium 


egy objektumot írásra, ha az 
ILje nagyobb vagy egyenlő, 
mint a megnyitandó objektum High 
ILje. Egy szál vagy folyamat 

csak akkor nyithat meg egy SE 
objektumot olvasásra, ha az 
nem egy folyamatobjektum, 
vagy a szál, vagy a folyamat ILje nagyobb 
vagy egyenlő, mint a másik folyamat ILje. Ez 
meggátolja az érzékeny információk kiszivár- 
gását a memóriaolvasások révén. Az ablakke- 
zelő alrendszer szintén figyelembe veszi az IL- 
eket, ez meggátolja a Window Message-eken 


keresztüli hozzáférést is. 


5. Az UAC-virtualizáció 

meggátolja a rosszindulatú 

fájl- és registry-írásokat? 

A UAC biztosít egy fájlrendszerre és regiszt 
rációs adatbázisra érvényes virtualizációt is. 
Ennek révén az ilyen ,virtualizáltan" futta- 
tott alkalmazások úgy végezhetnek írást a 


fájlrendszerbe vagy a regisztrációs adatbá- 


Protected process 


nyok és futtatható állo- 
mányok esetén) történő 
írások a virtualizált folya- 
matrólőátirámnyítódnak "a 
MUsersvcfelhasználónévoN 
AppDataVocal Virtual 
Store mappában, a meg- 
felelő almappákba (lásd az ábrán), a regiszt 
rációs adatbázisba irányuló írások pedig a 
HKCUNSoftwarexClassesvVirtualStore kulcs 
alá. Mint látható, mind a kettő a felhasználó 
profilja alatt helyezkedik el, így neki van is 
rá írási joga. Ha a felhasználónkénti szabály 
nem definiálja másképp, az olvasás elsőként 


a globális helyről történik. A fájlrendszer vir- 


SID Hex érték . Használati példák 
5-1-16-0 0. Anonymus/Null Session 


Védett módú Internet 
Explorer 


Hitelesített felhasználók/ 
Nem elevált 


5-I-16-4096 1000 


9-I-10-0192 2000 


Rendszergazda-jogúak 


Rendszergazdák/ 


5--16-I2288 3000 fájt ogok 


9-I-10-16304 4000 
9-I-16-20480 3000 


Helyi rendszer 


Rendszer 


tualizációja egy filter driver (luafv.sys) segítsé- 
gével valósul meg, a regisztrációs adatbázisé 
pedig beépítetten. 

Látható, hogy noha valaki az Adminis- 
trators csoport tagja, a WindowsYSystem32 
mappába írás nem sikerült a nem elevált 
jogokkal indított parancssorban. A virtuali- 
záció bekapcsolásakor (alapértelmezetten a 
Windows-komponensek nem virtualizáltan 
indulnak), az írás azonban sikerült. A dir 
paranccsal ki is [istázta a létrejött tájlt, azon 
ban a virtúalizació kikapcsolásakor látható; 
hogy a fájl nem a WindowsYSystem32 map- 
pában jött létre, hanem az átirányított he- 
lyen. Azok a futtatható állományok, amelyek 


nem rendelkeznek máshogy a manifesztjük- 


Microsoft TechNet 
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ben, virtualizáltan futnak (a Windows-kom- 
ponensek mindegyikének a manifesztje nem 
virtualizált futtatást ír elő, a példában ezért 
kellett a parancssort a Task Managerben kéz- 


zel átállítani a virtualizált futtatásra). 





User Made 


VVindows Vista 
Application 


Bernel Mode 


Luafv.sys 





Access 
Denied! 


Ntfs.sys a 


A fájlrendszer-virtualizáció felépítése 











A fájl és a regisztrációs adatbázis virtua- 
lizációja meggátolja az írásokat a nem rend- 
szergazdai jogú (nem elevált) folyamatok szá- 
mára, de csak az alábbi helyekre: 

n MProgram Files és minden alkönyvtára; 

n MProgram Files (x86) 64-bites rendszere- 
ken; 

x Windows és minden almappája, beleért 
ve a System32-t is; 

nm MUserstooAllUsersProfile9o XProgramData 

(ami XP-n a Documents and SettingsM All 

Users mappa volt); 
nm MDocuments and Settings (átirányított 

mappa); 

n HKLMNSoftware. 

Az alábbi objektumok azonban soha sem 
virtualizálhatók: 

n Vista-alkalmazások; 

am futtatható állományok, mint az .exe, .bat, 
wbs és .scr. - további fájlrendszeri kivéte- 
lek a HEKLMMYYystem CurrentControlSetv 

Services Luafv Parameters ExcludedExten- 

sionsAdd kulcsban adhatók meg; 

a 64 bites alkalmazások és folyamatok; 

a azok az alkalmazások, amelyek manifeszt 
jükben definiálják, hogy nem virtualizál 
tan futtatandók (mint az összes Vista-kom- 


ponens); 


NOVEMBER-DECEMBER 


x folyamatok és alkalmazások, amelyek rend- 
szergazdai jogokkal futnak; 

a kernel módú alkalmazások; 

a műveletek, amelyek nem interaktív beje- 
lentkezésből származnak (például: fájlmeg- 
osztáson keresztüli elérés); 

m alkalmazások, amelyek a regisztrációs 

adatbázisban a Dont Virtualize registry 

flaggel megjelöltek. (A reg.exe segítségé- 
vel láthatjuk a három új registry flaget 

a HKLMNSoftware kulcs alatt: DONT 

VIRIUALIZE, DONT SILENT FAIL, 


RECORSÉTEZÁGÓ 


6. Biztonsági határ az UAC? 


Biztonsági határnak nevezzük azt, ahol biz- 
tonsági előírások definiálják, hogy mi ha- 
ladhat keresztül a biztonsági határon (pél 
dául: egy tűzfal). A User Account Controlt 
a Microsoft soha nem is tervezte biztonsági 
határként kezelni. A bejelentkezett felhasz- 
náló nevében , standard" 
felhasználói jogokkal fu- 


tó rosszindulatú kód és 


C:XMTemp?2psexec -1 cmd.exe 





tartalmaz (az UAC-n túl "égy csomó olyan 
biztonságot növelő újdonságot, mint a szol 
gáltatások védelmének növelése, az autentiká- 
ciós újdonságok, kernelváltozások, az ASLR, 
a BitLocker, a Windows Firewall: és IPSec- 
újdonságok, Network Access Protection stb. 
A Vista architektúrájának már a tervezéstől 


fogva része a biztonság. 


8. A védett módú Internet Explorer 
minden letöltést véd? 

A megfogalmazás helyesen úgy hangzik, 
hogy a védett módú Internet Explorer továb- 
bi pluszvédelmet nyújt a weboldalak megje- 
lenítésekor automatikusan lefutó tartalmak- 
kal szemben. Fontos megemlíteni, hogy az 
Internet Explorer védett módja nem minden 
biztonsági zóna esetén érvényes, alapértel 
mezetten ugyanis a védett mód nem terjed 


ki a Megbízható helyek zónában levő web- 
oldalakra. 


PsExec vi.86 — Execute processes remotely 


a felhasználó által enge- 
délyezett adminisztrátori 
jogokkal futó alkalmazás 


is a felhasználó kontex 


Copyright (CC) 2881-2887 Mark Russinovich 
Sysinternals — wwy.sysinternals.com 


Em CAWindowsisystem321cmd.exe 


Microsoft Windows [Uersion 6.§.68811 
Copyright (c)? 2886 Microsoft Corporation. 


All rights reserved. 


C:XMTemp2ecd Zuserprof ilez"AppDataMLocalMMicrosoftWindowsXTemporary Internet File 


csMisersMmnatyas"AppDataNLocalMicrosoftWindowsXTemporary Internet Files2echo He 


llo Technet? ? Technet.txt 


Access is denied. 


tusában fe ahol nincs i Ge: sersMmatyas"AppDataNLocalMicrosoftWindouwsXTemporary Internet Files2cd Low 


c:WsersMtmatyasVAáppDbataNLocalMicrosoftWyindowsXTemporary Internet FilesXLow2ech 


köztük speciális bizton- o Hello Technet?t ? Technet.txt 


SAGT hátát sezősatamtal 
ná, hogy a rosszindulatú 


FilesXLow 


kód ne férhessen hozzá ELKEL EE É 
FELLREERÉ ÉT 
az emelt jogokkal rendel ; 


kező alkalmazáshoz. "Az 
UAC azonban így is jelen- 
tős mértékben hozzájárul 
ahhoz, hogy a Windows- 
platform támadási felülete csökkenjen, vala- 
mint nagyobb kontrollt ad a felhasználó ke- 
zébe, és abba az irányba tereli a fejlesztőket, 
hogy standard felhasználói jogokkal futtat 
ható alkalmazásokat írjanak. 

Amennyiben biztonsági határra van szük- 
ségünk, akkor a felhasználóknak egyszerűen 
nem szabad rendszergazdai joggal bejelent 


kezniük. 


7. Az UAC kikapcsolása esetén 

a Vista az XP SP2 biztonsági szintjét 
sem éri el? 

A Vista tartalmazza a Windows XP SPZ által 
bevezetett biztonsági szolgáltatásokat, hiszen 
abból lett továbbfejlesztve. Ezenfelül a Vista 


18: :17 


.leCs 
2 DirCs) 


B MsersMmatyasVAppDataMNlocalMicrosoftWindowsXTemporary Internet FilesXMLowldir I 
[ 


Volume in drive C has no label. 
l Volume Serial Number is 8E5C€-D3Ei1 


Directory of C:MserstmatyastAppDataMNLocaláicrosoftuWindowsXTemporary Internet 


Ké 89 iPhishing 


li 
16 384 ALA tg 


: Eg TETTEL nban 
16 481 bytes 
26 328 Ft 376 byutes free 


c:MsersMmatyasVAppDbataNLocaláMicrosoftWyVindowsNXTemporary Internet FilesMLow. 





A Low integritási szinttel rendelkező folyamat csak a Low mappába írhat 


A védett módú IE védelmét a böngésző fo- 
lyamatának Low integritási szinten futtatása 
adja. Ez érvényes a legtöbb IE-objektumra is, 
mint a böngészőmenük, bővítmények stb. A 
védett módú IE által letöltött tartalmak Low 
integritással is elérhető fájl és registry-helye- 
ken tárolódnak, ahonnan nincs direkt írási 
lehetőség a rendszerfájlok vagy egyéb felhasz- 
nálói fájlok elérési helyeire. 

Ezt mutatja be a fenti ábra. A bemutató 
elkészítéséhez a http://www.microsoft.com/ 
technet/sysinternals/ oldalról letölthető pse- 
xec alkalmazást vettük alapul, amely az -I 
kapcsoló segítségével képes egy folyamatot 
Low integritási szinttel elindítani. 


Az ábrán látható, hogy a védett módú 
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Internet Explorer által használt ideiglenes 
mappa könyvtára a ,normál" Iemporary 
Internet Files könyvtár alatt található Low 
nevű mappa. Ez a mappa annyiban külön- 


leges, hogy a Low integritási szintű folyama- 


ági Consol kel 00 Winc 


el 


(TR File Action View  Favorites "Window Help 


$25/rEHöGIHE 





rábbi Windows File Protection (WFP) meg- 
oldással azonosítják. A WEP-t a Windows 
2000-ben, míg egy hozzá nagyban hasonló 
megoldást, a System File Protectiont (SFP) 


a Windows Millennium Editionnel vezették 





(E Console Root 
a 6? Windows Firewall with Adva 
ÉR Inbound Rules 
KZZ Outbound Rules 


Name 
0 core Networking - Destin 
0 core Networking - 
o Core Networking - 


Distributed Transaction Coordinator (RPC-EPMAP) Properties 


Profile  " 1] Actions 


ore hetwo [dan 





Inbound Rules 


ú New Rule... 





e ébe Security Rul 0 core Networking j 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 
0 core Networking - 





Programs 


Users and Computers 
General 


Protocols and Ports I Scope I Advanced ] 


SZ Filter by Profile 





Programs and Services S7 Filter by State 


SZ Filter by Group 


aGanusia aa 


ú Customize Service Settings 


Apply this rule as follows: 





0 core Networking - 
0 Networking - Routdi 
ODistributed Transac 
ODistributed Transac 
(9 Distributed Transac 
ÖDistributed Transac 
ÖDistributed Transac 
Oo Distributed Transac 
ÖÖ File and Printer Shaj 


Name 








S4, Problem Reports and Solutions Control Panel Support 
St, Program Compatibility Assistant Service 

4 Protected Storage 

"64 Gualitty Windows Audio Video Experience 

Sz, ReadyBoost 

"54, Remote Access Auto Connection Manager 

4 Remote Access Connection Manager 


93 Remote P 


É; ocedure Call (RPC RpcSs 
Sz. Remote Procedure Call (RPC) Locator 


Short Name 


wercplsupport 
PcaSvc 
ProtectedStorage 
GWAVE 
EMDMgmt 
RasAuto 
RasMan 





RocLocator 





0 File and Printer Sha 
Ő File and Printer Sha 
ÖÖ File and Printer shal 
o File and Printer Sharing ( 

Ő File and Printer Sharing (NB- 
o File and Printer Sharing (NB- 
0 File and Printer Sharing (NB- 
4 ] "I 


a RPCSS 
NB- 








Leam more about these settings 








A szolgáltatások kommunikációjának szabályozása a Windows Tűzfalon 


toknak is van joguk írni ide. Látható, hogy 
a Low integritású folyamatnak csak ebbe a 
mappába sikerült az írás. 

A védett módú IE az automatikusan le- 
töltődő tartalmak elleni védelemre készült. 
Azok a tartalmak, amelyeket a felhasználó 
maga tölt le vagy indít el, Medium integri- 
tási szintet kapnak. Azok a tartalmak pedig, 
amelyeket rendszergazdai elevációval indít el 
a felhasználó (például: egy ActiveX-vezérlő te- 
lepítése) High integritási szintet kapnak. 

Tehát lehet napsütés Párizsban vagy eső 
Londonban, de ha a felhasználó így is rávehe- 
tő arra, hogy letöltsön és futtasson egy rossz- 
indulatú kódot tartalmazó állományt, akkor 
a védett módú IE sem tehet sokat ellene. 
Valós idejű vírus és soyware elleni védelemre 


tehát továbbra is szükség van. 


9. A Vista rendszervédelme 
megegyezik a korábbi 
rendszerfájl-védelemmel? 

A Vistában található Windows Resource 
Protection (WRP) megoldást sokszor a ko- 


jd 


be. Mindkettő hasonlít a WRP-re, de jelen- 
tős eltérések vannak a megvalósításában. 

A WEP csak fájlokat figyelt. Ezzel szem- 
ben a WRP a kritikus fájlokat, mappákat és 
a regisztrációs adatbázis bejegyzéseit is védi. 
A WEP/SEP csak a védett rendszerfájlokat 
érintő módosításokat figyelte. 

Amennyiben ezek a változások nem hite- 
lesítettek, a WEP/SEP visszacseréli a módo- 
sult állományokat egy korábbi, megbízható 
mentésből. A leggyakoribb figyelmeztetés, 
amit a WEP korábban adott, egy felhaszná- 
lói figyelmeztetés vagy egy eseménynapló-be- 
jegyzés volt. 

A WRP tovább erősíti a rendszererőfor- 
rások védelmét, kiterjesztve a védelmet a re- 
gisztrációs adatbázisra és a rendszermappák- 
ra is. A Vista esetében még a Rendszergazdák- 
csoport tagjai sem módosíthatják a rendszer- 
erőforrásokat. 

Alapértelmezés szerint csak a Windows 
TIrusted Installer biztonsági szint (security 
principal) jogosult módosításokra a Windows 


Module Installer szolgáltatáson keresztül. 


TES E 
AS 


Ezt használja a Windows Installer, a hotfix. 
exe és az update.exe is. 

Azonban a rendszergazdáknak jogukban 
áll tulajdonukba venniük a védett rendszer- 
erőforrásokat is, és teljes jogot is adhatnak 
maguknak, így módosítani vagy törölni is 
képesek lesznek a rendszer számára kritikus 
állományokat. 

A WEP-vel ellentétben a WRP azonban 
automatikusan nem állítja helyre a védett ál 
lományokat egy megbízható mentésből, csak 
újraindítás során állítja vissza a rendszer in- 
dulásához szükséges állapotot. 

Ahhoz, hogy a WRP visszaállítsa az összes 
védett erőforrást (ami hasznos lehet egy hiba- 
keresés során) futtassuk a következő paran- 
csot: sfc /scan now. A védett fájlok eredeti 
állapotának visszaállításához szükség lehet a 


Vista telepítőlemezére is. 


10. Nem is kétirányú a Vista tűzfala? 
A Vista tűzfala már kétirányú szűrést is képes 
végezni, szemben a Windows XP SP2 csak 
bejövő szűrést végző tűzfalával - de a kétirá- 
nyú szűrés a Vista tűzfalának haladó konfi- 
gurációs felületéről érhető csak el (Windows 
Firewall with Advanced Security). A hálózat 
kezelés újraírása azonban ennél sokkal több 
újdonságot is jelent a Windows-tűzfal eseté- 
ben. Az egységes IPv4- és IPv6-stack révén 
a Windows-tűzfal képes mind IPv4-, mind 
IPv6-szűrések megvalósítására, valamint az 
IPSecszolgáltatás is integrálódott, így a tűz- 
fal. és IPSecszabályokat egy felületről kezel 
hetjük. A Vista Service Hardening újdon- 
ságának eredményeképpen pedig az egyes 
szolgáltatások — hálózati kommunikációja 
nemcsak a portok, hanem a szolgáltatás azo- 
nosítója révén is szabályozható. 

A Vista tűzfala alapértelmezetten 82 sza- 
bállyal korlátozza 34 szolgáltatás kimenő há- 


lózati forgalmát. 


Konklúzió 
A Windows Vista az eddigi legbiztonságo- 
sabb megjelent Windows-verzió, amelyet szá- 
mos architekturális változtatásnak és az új, 
biztonságot növelő szolgáltatásoknak köszön- 
het. Ugyanakkor továbbra is hihetetlenül 
fontos, hogy szakemberként mélységében is 
tisztában legyünk minden új korláttal és le- 

hetőséggel. 
Safranka Mátyás 
(matyas(Omicrosoft.com) Microsoft Magyarország 
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FNKSNET 


ORDÖGLAKAT 


lematikus biztonsági lapszámot tart kezében az olvasó. 


Sok kiváló kolléga komoly szakmai elemzéssel állt neki ennek 


a nem egyszerű feladatnak. Én azt választottam, hogy egy 


kis játékkal dobom fel ezt a komor témát. Ez a cikk az újság 


mellékleteként megjelenő online , hackerjáték", az ordoglakat.into 


végigjátszásának megkönnyítésére jött létre. Minden szava igaz. 


ogyan is kezdődhetne a rendszerfeltörések (hackelések) modern kori, valamint elmúlt 


évezredbeli történelmével foglalkozó írás, mint azzal: már a régi amerikaiak is. De 


mit is csináltak a régi amerikaiak abban a primitív korszakban, amikor még nem volt 
USB-pendrive és műholdas helymeghatározás? Iudjuk, hekkeltek. Erről tanúskodnak a , hack 


archive" kulcsszóval elérhető őskori leletek, ahol megtekinthetjük a cia.gov, a spicegirls.com és 


£ ]) redLine owNz yOu! - Microsoft Internet Explorer (-J(nJEgd 


: AFle Edit Wiew  Favorites Tools Help 


9 d 6 7 6 


" System OwNed Bu Turkish 


Hackers? 


ll altt tri (Tt £ The Bekir £ 
tt ASH owNed you? 


next target: microsoft.com 


TiTHacK.Cot £ SauSak.ColH 





ál) Internet 


Reszkess, Microsoft, te leszel a következő áldozat! 





Hogyan állapítható meg egy távoli gépről, hogy azon milyen webkiszol 
gáló fut? A valóban primitív módszereken felül (ha a lapok .aspx-re végződ- 
nek, ott .NEI Framework, tehát IIS van) léteznek professzionális, direkt 
erre a célra kifejlesztett eszközök is. A legismertebb, legelterjedtebb talán az 
NMAP, amely a http:/www.insecure.org lapon lakik. Most sokan mond- 
hatják, hogy minek nekem portscanner, hisz egy normálisan beállított 
webkiszolgálón úgyis csak a 80-as, illetve adott esetben a 25-ös port van 
nyitva, és kész. Erre azt mondanám: és mi a helyzet a távfelügyelettel, az 
adatok feltöltésével, esetleg a VPN-nel? Máris öt nyitott portnál tartunk. 
Ezek összessége pedig szinte halálbiztosan meghatározza a futtatott rendszer 


típusát (NMAP esetén kapcsoljuk be az OS Detection flaget.) Viszonylag 


1 





sok más ismert oldal állapotát előtte - és utá- 
na. (Hoppá, bocsánat, nem találok egyet sem, 
a cenzúra letöröltette ezeket, vagy a keresők 
önként szűrik az ilyen kéréseket. Nem baj, a 
jó öreg Owned kulcsszó mindig bejön...) 

Mi a közös ezekben a sikeres támadások- 
ban? Az eljárás menete minden alkalom- 
mal ugyanaz. Információszerzéssel kezdődik, 
amelyben a lehető legtöbb mindent megpró- 
bálunk megállapítani a kiszemelt áldozatról. 

Webkiszolgáló esetén fontos információ 
lehet annak gyártója és a futó példány pon- 
tos verziószáma, emellett természetesen jól 


jöhetnek olyan típusú in- 


kevés munkával megtudható tehát, hogy az 
általunk kipécézett webszerver egy Windows 
2003 SPI, amelyen egy I[IS6 fut. Kár, hogy ez 
önmagában még semmire sem elég. 

Bezzeg a hőskorban! Én még emlékszem, 
amikor a , nagy szoftvergyárak" a hálózatbiz- 
tonságról azt sem tudták, mi az. 

Ha kiderült valami biztonsági probléma a 
termékükkel kapcsolatban, még választhat 
ták a lapítós megoldást, mert akkoriban még 
nem léteztek a manapság elérhető exploit 
keretrendszerek, és nem voltunk túl néhány 


erős féregtámadáson. 


Irtó veszélyes holmik 
Hadd mutassam meg, mi kényszerítette ki a 
szoftverfejlesztők hozzáállásának drasztikus 


megváltozását. Íme az egyik legjobb exploit 





formációk is, mint például 
a webgazda neve, ad ab- 


szurdum: jelszava. 


only. 





Hackgenerátor 
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"Metasploit Inside!" 


Framework 3.0 ( WIN32 - UNIX ) 
Framework 2.7 ( WIN32 - UNIX ) 


)verview ] Framework ] Shellcode ] Opcode DB /] Research ] Donate ] Press ] Links ] Blog 


This is the Metasploit Project. The goal is to provide useful information to people who perform penetration 
testing, IDS signature development, and exploit research. This site was created to fill the gaps in the 
information publicly available on various exploitation technigucs and to crcatc a useful resource for exploit 
developers. The tools and information on this site are provided for legal security research and testing purposes 


10/23/2007 Reliable staging without a stager receive loop (skape) 


Staged payloads are used by Metasploit to help reduce the size of the initial payload blob that 
needs ta he transmitted as part of an exnplaitation attempt. These stagers tynically cannect to a 
Metasploit client and bootstrap (read in) a second stage payload blob which is subseguently 
executed. There"s a problem with this approach, however, and it has to do with partial reads. 
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GU e! A http//www.ordoglakat.info/default.aspx?user- marcelif 
G els 
áz dt "(6 Ordöglakat 





Egy lehetséges , megoldás" az ordoglakat.infon. Ezt meghekkelték! 


framework, amivel Óvodás Pistike is képes 
távolról egy jól kivitelezett puffertúlcsordulá- 


sos (buffer overrun) támadásra: a Metasploit 


sIGob ER v ! $? Bookmarksv P:9Raá. Bh5 blocked , 9 Check v 54 Autolink v 





B internet [ Protected Mode On 


Információszerzés, 
információrejtés 
A termék neve, verziószá- 
ma általában semmilyen se- 
gítséget nem ad a feltörek- 
vő feltörők kezébe, nincs 
jól járható, közös út a fel 
törésekhez. Mindegyikhez 
van azonban egyedi út, 
amelyen végigmenni sok 
kal fárasztóbb ugyan, de 
még mindig eredménnyel 
kecsegtethet. Első lépés: 
nézz körül az áldozatnál, 
meg tudod-e állapítani va- 
lamilyen fontos személy ne- 
vét, jelszavát? 

Egy loginnév még önmagában, jelszó nélk 
kül is értéket képviselhet. Előfordulhat, hogy 


egy weblap olyan programozási hibát tartal 


[mlEl] Xx 


s 





lát ( úgysem találják ki ). Láttunk már olyat, 
hogy egy webhely önmagában hordozza a sa- 
ját jelszavait, hogy kényelmesen delegálni le- 
hessen a felöltést valaki más számára. 

Az információ elrejtése egyébként általá- 
nos probléma, mivel minden jelszóval védett 
izé szinte mágnesként vonzza a feltörésére 
ácsingózó kéretlen delikvenseket. Hogyan le- 
hetne elejét venni annak, hogy egy adatról 
messzirő virítson: ,titkos vagyok", , értékes 
vagyok"? A megoldás az adatrejtés, vagy más 
néven a szteganográfia bevetése. TIároljuk a 
jelszót, a PFX-fájlt és a többi titkos dolgot úgy, 
hogy senki még csak észre se vegye! Ágyazzuk 
képbe (JPHS for Windows)! Mossuk bele 
MP3-fájlba (MP3 Stego)! Rejtsük el TXI-ben, 
EXE-ben! Az így előállított képet/hangot/ 
bármit pedig tegyük bátran közszemlére. 

Az igazat megvallva, sajnálom szegény 


amerikaiakat. Fejükbe vették, hogy lehallgat 


Framewotk, amelyet az Inteltől ellopott szlo- ják terroristák üzenetküldé- 





gennel csak így reklámoznak: , Metasploit wbStego4.30pen seit. Sajnos nincs esélyük. Ha 


Select Carrier File 


inside"! én lennék a gonosz, a követ 





Ezzel az alkalmazással egy egyszerű menü- kezőket tenném: az adott na- 


selectthe carrier file in which vou want to 
hide data. 


Find carrier file ... 
E Bitmap graphic (BMP, ". RLE 


Eldplain text file C.TXT, "4ASC) - standard method 
El Plain text file - compatible method, HTML or XML file 
El Adobe Acrobat file PDF) 





rendszeren keresztül kiválaszthatjuk, hogy pi parancsot belemosnám egy 


melyik gyártó melyik bugos termékével mit ártatlan képbe, és feltenném 


is szeretnénk csinálni távolról - például ké- egy előre megbeszélt helyre a 


File Type: 


rünk szépen egy parancssort! weben. Kész. 












E két automata feltörési szisztéma (féreg 


Help Hibás webalkalmazások 


Tényként kezelhetjük, hogy 


és framework) picit átrendezte a biztonság- 


gal kapcsolatos súlyokat a képzeletbeli mérle- Settings 


o bep ] 
set] 
etetését] 


gen. Az a gyártó, amelyik nem foltoz, először minden szoftver hibás. Még 


Flowchart - Mode 


££ Back Continue 22 


TXT-be és PDF-be tetszőleges adatot belerejtő csodaprogram 








súlyos presztízsveszteséget szenved, majd ha az is, amit én fejlesztek. 


még mindig nem kap észbe, megdöglik. Ma Biztos vagyok benne, hogy hi 


már, az Automatic Update korában bátran DBás, csak az a bökkenő, hogy 


kijelenthetjük, hogy az informatikai bizton- ! maz, ami további információk megszerzését ! nem tudom, hol rejtőzik a hiba. (Ha tudnám, 


ság fenntartása legalább felerészben nem a ! teszi lehetővé. A jelszavak, kódok pedig sok- ! kijavítanám.) Egynémely webalkalmazás any- 


mi feladatunk (és felelősségünk), hanem a ! szor igen banálisak. Csak egy példát hadd 1! nyira hibás, hogy az már szinte fáj. 


gyártóké - és ezt szerencsére ők is tudják. Ma, ! mondjak: ha valaki tudja, hogy én 


tod s Ed 
Options — Help 


2007-ben akkor lehet egy rendszert feltörni, ! milyen utcában lakom, az el tudja 


; TT § ; B B Exit . Openjpeg — Hide  Seek 
lopni a biciklimet, ki tudja nyitni a cat 


Savejpeg — Savejpegas Pass phrase 


ha annak építői és üzemeltetői helyezik el az 


időzített bombákat a rendszerükben. számzáras Kensington Lockomat, és 


Input jpeg file 
Directory CAUserstiPubliciPicturesi Sample Pictures 
Filename Desert Landscape.jpg 
Filesize 224 kb width 1024 pixels Height 768 pixels 


. Approximate max capacity ! 34 kb recommendedlimit 21 kb 


Nos, az ordoglakat.info ilyen webhely. EL ! elviheti a laptobomat. (Most, hogy 


követtünk mindent, amit csak webgazda és ! elárultam, már könnyű! Honnan 


programozó elkövethet annak érdekében, ! lehet megtudni a webgazda login- 


Hidden file 


hogy a végeredmény egy olyan weblap le- ! nevét? A srác biztos büszke ma- 


Directory 


Sata d aztösszesi weblapras kirakja: Filename 


gyen, amelyiknek kicserélték a főlapját (or- 
doglakat can be defaced). Fájdalom, de a cikk 


írásának pillanatában egyetlen valamirevaló 


Filesize 


Ha ezt megtiltották neki, akkor 
HTML-kommentbe teszi. 


Fontos 


saved jpeg file 
. Directory 
Filename 


— Filesi Kb 
egy-egy fájl, vagy komplett könyv- ; SSSEZ 


kiaknázható biztonsági probléma sincs sem információforrás lehet 


a Windowsban, sem az IIS-ben, sem az SOL 
Serverben. 


Üzenet a palackban: , 2007-ben a feltörhe- 


tő webszerverhez Ön is kell, de nagyon!" 





, This ipeg file has not been modified 


tár, amit a webgazda kényelmi 
A Windows egyik gyári háttérképébe akár 34 kilobájtnyi adat is 
belemosható észrevétlenül! 


okokból felpakol a webre (, úgysem 


találnak rá"), esetleg jelszóval is el 
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Két évvel ezelőtt alkalmam volt részt venni 
egy hackerkonferencián, ahol külön előadást 
szenteltek az URL-hackingnek. Ez nem más, 
mint a HTIP URL átirkálása. Döbbenet, de 
ez nagyon sok webhelyen még mindig bejön! 
Olcsóbban szeretnél szert tenni egy plazma- 
tévére? Rendeld meg, majd az URL-ben írd 
át az árat 1 Ftra, és üss Enter-t. Hihetetlen, 
de igaz! (Volt.) 

Vegyünk egy komplikáltabb esetet! Ma- 
napság minden webalkalmazás adatbázisra 
épít, abban tárolja a tartalom jelentős részét. 
Hogyan kerül ki a tartalom a weblapra? Úgy, 
hogy a PHP, ASP, ASPX vagy egyéb kód kibo- 
csát magából egy SOL-utasítást, ami szépen 
lekérdezi a megfelelő adatokat az adatbázis- 
ból. A zökkenőmentes működéshez nyilván 
Selectjogot adunk anonymousnak (ez más- 
képp tényleg nem megy), és ha már itt tar- 
tunk, írási jogot is, mert majd rendelni is fog. 
Adjunk neki full controllt, akkor sosem lesz 
jogosultságprobléma! 

Legyen egy product.aspx nevű weblapunk, 
amelyik egyszerre egy terméket jelenít meg. 
Ezt a lapot URL-ből lehet paraméterezni, 
mivel így biztosítható, hogy minden termé- 
künkre közvetlen link mutat, amit a keresők 
jól leindexelnek, boldog tőle mindenki. Ha 
például a plazmatévét szeretném elérni, vala- 


mi ilyesmi lenne az URL: 
product.aspx?prod—plazma 


Szofisztikáltabb esetben (hogy ne lehessen 


az URL sima átirkálásával másik termékekre 


ráblöfföln)): 


product.aspx?id—51E2822E-BD2E-40B7-9634- 
04991025(40D2 


Es ez immáron szekúr. Vagy legalábbis 
első ránézésre annak tűnik. Csakhogy emö- 


SOGOTL alkód"a bugos köd 


SgiDataSource1.SelectCommand -- — 
string.Format(,, where id—-(0Y", Regvest[,,1D"1); 


Mert hát hogyan lehetne másképp rá- 
venni egy varázsló által készített asp.net 
SOLDataSourcet, hogy ne az összes termé- 
ket hozza le, csak azt, amit az URL-ben kér- 
tek? Látjuk már a hibát? 

Még nem? Akkor lássuk közelebbről. 

A varázsló ezt varázsolja az ASPX.apba, 
ha Visual Studióval egy SOL-táblát berántok 
balról, és elejtem a , papír" közepén (részlet 


következik): 
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Zasp:SgiDataSource 1D—"SglDataSourcel" 

runat— server" 

SelectCommand—"SELECT [ProductD], [ProductNamel 
FROM [Products[ 75 


A Select utasításból látszik, hogy ez bi 
zony az összes terméket lehozza, akár tet 
szik, akár nem. A megoldás egyszerű: írjunk 
mögé egy Where feltételt kódból, és a prob- 
léma megoldódik (lásd feljebb). Csakhogy 
ezzel az ,ügyes" húzással kinyitottuk a rém- 
ségek kicsiny boltját: utat nyitottunk az SOL 
Injection támadásnak! Milyen SOL-kód jön 
létre, ha az URL-be az alábbi sort írom? 


product.aspx?id— 46; DROP TABLE Products 


Hopp-hopp! Az eredmény: 


SELECT [ProductD], [ProductName] 
FROM [Products] where id— 46; DROP TABLE Products 


És a végén csodálkozunk, hogy üres az áru- 
ház. Mi a szösz! Minden elkelt? :-) 

Az SOL Injection alattomos. Látszólag sem- 
milyen hibát nem követtünk el, de mégis. 

A legrosszabb most jön: a webalkalma- 
zás egy, azaz egy felhasználóval használja az 
adatbázist. Mindig-mindig ugyanaz a ,sze- 
mély" dolgozik a táblákon, tárolt eljárásokon. 
Ennek a , személynek" mindig-mindig joga 
van és lesz minden olyan tárolt eljárást meg- 
hívására, ami a weblap kezeléséhez szükséges. 
SELECT, ÍNSERI, UPDATE, DELETE joga 
mindenképpen van, noha csak közvetetten, a 
megfelelő tárolt eljárások meghívásával. Ha 
azonban bennefelejtünk a kódban egyetlen- 
egy táblaszintű, kézzel összefűzött SELECI- 
et (mentség: a varázsló csinálta, nem én!), 
abban a pillanatban a , személy" közvetlenül 
is meg tudja hívni a tárolt eljárásokat, szaba- 
don megadva a bemeneti paramétereket! Így 
válik , jogosulttá" más személyek adatainak 
elolvasására! 

Ovátilac 
SELECT joga van az összes rendszertáblán. 


Folytassam? A ,személynek" 
Mennyi erőfeszítésébe telik feltérképezni az 


adatbázis teljes szerkezetét? 


Hibás" szabványok 

Külön kategóriát képviselnek azok a bizton- 
sági problémák, amelyek abból fakadnak, 
hogy amikor az adott technológia kialakult, 
az ,informatikai biztonság" kifejezés még 
nem létezett. Ezekre a szabványokra aztán 


hiába építünk bármit, a rendszerek alap- 
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jai gyengék. A legszebb példa minderre a 
Manin-the-Middle (MiM) támadáscsalád. 
Emlékszünk még az Elender-ügyfelek never 
nek és jelszavainak ellopására? Na ahhoz 
nem kellett MiM. Elég volt, hogy a jelszólopó 
srácok szervere ugyanazon a HUB-on lógott, 
mint az Elender központi gépe. (Fiatalok, 
rejtvény: mi az a HUB?) 

Ma ugyanezt, ugyanígy már nem lehet 
ne megcsinálni, mivel HUB-ot ma már sze- 
rintem nem is lehet kapni: minden hálózat 
switchelt; minden gép csak a saját adatait 
kapja meg a switch-től - no meg a broadcasto- 
kat. Itt jön képbe a MiM, annak technikája, 
hogy egy ilyen hálózaton én mint hacker be- 
álljak a kommunikáló felek közé, és minden 
forgalmat ügyesen átvizsgáljak. Szomorú hí- 
rem van: a dolog nemhogy lehetetlen, hanem 
az ARP:szabvány korai volta miatt elkerülhe- 
tetlen. Kains.Abel ezt olyan magas szinten 
műveli, hogy például az átmenő VolP-híváso- 
kat WAV fájlba menti , archiválás céljából". 
A kedvencem mégis a WebSpy. Ez a minimá- 
lis méretű programocska arra való, hogy én, a 
hacker, előbb lássam meg az áldozat által kért 
weblapokat, mint ő maga, hisz rajtam keresz- 
tül zajlik az egész forgalom. Csak beékelődöm 
a két fél közé mondjuk Ettecap segítségével, 
elindítom a WebSpy-t, hátradőlök, és nézem a 
műsort, ami abból áll, amit a kiszemelt célsze- 
mély (vezérigazgató) éppen nézeget a weben. 
Átmenő .XLS lementése a hálózati forgalom- 
ból? Semmi gond, van rá , termék": SMB File 
Sniffer a neve. A MicroOLAP cég készítette, 
gondolom hobbiból, mert a fő tevékenységük 
az adatbányászat. Bár, bizonyos szempontból 
ez 15 jadatbanyaszatnak "minősül 

A , hibás" szabványok közé sorolható még a 
DNS is, amivel szintén borzasztó egyszerűen 


eltéríthető a hálózati forgalom. Gondoljunk 


2. Info gather 
3. Stegano 


[ 
1. Reminder b 
5. DirList s. 
6. Brute Force Gr Te 
A e! EN 


SOL Inject 
38. Decrypt 
9. Deface 
10. Backdoor 


11. Diploma 
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csak a helyi gép HOSTS-fájljának átirkálá- 
Safta. (Apropos HOSTSS-Azt tüdtak "hogy 
ezzel a módszerrel a ".microsoft.com zónát 
nem lehet eltéríteni? Érdemes kiprobálni: 
12.34.56.78 www.microsoft.com - és mégis 


megy! Billy kódból védi önmagát!) 


Ordoglakat.info 

És most néhány szót szeretnék szólni a Mic 
rosoft Magyarország felkérésére a IechNet 
Magazin jelen számához készített, ordogla- 
kat.info címen elérhető játékról. Ezt a webal 
kalmazást kifejezetten abból a célból hoztuk 
létre, hogy a biztonság néhány fontos aspek- 
tusát egy webes játék keretében megismertes- 
sük az olvasókkal. Egyben jó előfelkészülés- 
ként szolgál a NetAcademia hivatalos Ethical 
hacker tanfolyamához és az ehhez tartozó 
nemzetközi vizsgához is. 

A webhely azzal a céllal készült, hogy vé- 
gigvezessen néhány tipikus biztonsági prob- 
lémán. A feladatok túlnyomó többsége szi- 
muláció, azaz igazi rendszerfeltörést nem tesz 
lehetővé. A legutolsó néhány feladat azon- 
ban más: éles SOL Injection, éles Cross Site 
Scripting és éles , tásrmenedzsment" teszi kel- 
lemesebbé a játékosok unalmas óráit - már 
aki eljut idáig. Az élesben működő feladato- 
kat piros felkiáltójel jelzi a menüben. 

(Mivel most több ezer furfangos informa- 
tikus fog nekiesni, én nem merek garanciát 
vállalni arra, hogy egyáltalán nincs benne ál- 
talunk nem ismert biztonsági rés. Ez ugyanis 
ütközne azzal az elvvel, hogy minden szofter 
garantáltan bugos. Ígérem, hogy ha menet köz 
ben — szándékunk ellenére — felborítja valaki, 
nem fogjuk eltussolni az ügyet, hanem megoszt- 
juk a játékosokkal a probléma okát. Remélem, 
nullánál nem sokkal több ilyen probléma derül 
ki menet közben.) 

Maga a webhely szándéka szerint önma- 
gyarázó, a feladatok megoldásához ez a cikk 
ad szakmai tanácsokat, valamint további 
súgások (hintek) kérhetők menet közben. 
Minden segítségkérés büntetőponttal jár. A 
weblapok jobb alsó sarkában látható, hogy 
mennyi egészségpontja van még a játékos- 
nak. A játék egyre nehezedő feladatokból áll, 
a legutolsó pályán a sikeres játékos névre szó- 
ló , diplomát" készíthet magának. 

Sok sikert, kellemes időtöltést kívánok! 

Fóti Marcell 
Security MVP, MCT, MCSE, MCDBA, MZ/X 
(marcelltonetacademia.net) 
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SVÁJCI BICSKA 


Avagy miért tekinti sok víruskereső kártékony 
kódnak a NetCat nevű programct, ezt 
a nyúlfarknyi portátirányító készüléket? 
Mi köze ehhez a biztonság negyedik 
alaptörvényének? 


TCP port fogalma nyilván minden kedves olvasó előtt ismerős: ez az a szolgáltatási 
végpont, amelyhez az ügyfélprogramok (böngésző, POP3-levelező stb.) csatlakoznak a 
kiszolgálón, hogy hozzáférhessenek a számukra szükséges adatokhoz. A TCP-csatorna 
forgalma gyakran szöveges formátumú, mert ez a technológia evolúciós módon váltotta ki az 
RS232-es soros porti kommunikációt, amikor a 80-as években az összes dumb terminalt kiha- 
jítottuk a harmadik emeleti ablakon, és bekábeleztük épületeinket Ethernettel. 
Sok-sok mai létfontosságú szolgáltatás még mindig , meghajtható" Telnetügyféllel, gondol 
junk csak az SMIT P-re: vidáman lehet leveleket küldözgetni a világba, ha az ember ismeri az 
SMIP parancskészletét. De még egy webszervert is sikeresen nyaggathatunk, ha Telnettel tá- 


volról rákapcsolódunk a 80-as portjára, és begépeljük neki ezt a két sort: 


get / http/1.1 
host www.mittudomen.com 


Ha valaki védeni szeretné a hálózatát más , felhasználók" agyament csatlakozási kísérleteitől, 
nem kell mást tennie, mint a tűzfalán szépen becsukogatni (ki sem nyitni) a nemkívánatos por- 
tokat. Ma már a vállalati és otthoni tűzfalak úgy vannak beállítva, hogy befelé mindössze egy- 
két port nyitott, és azok is konkrét belső címekre dobálják a beérkező csomagokat. Ezt nevez- 
zük port forwardingnak. Az I. ábra egy tipikus, olcsó otthoni , tűzfal" (valójában WAN Router) 


portátirányítási beállítását tartalmazza. 





Mi a helyzet a hálózatból kifelé irányuló 
kérésekkel? Ezt kétféleképpen szokták szabá- 


Port Forwarding 


Entries in this table allow you to automatically redirect common network services to a specific 
machine behind the NAT firewall. These settings are only necessary if you wish to host some sort of 
server like a web server or mail server on the private local network behind your Gateways NAT 


lyozni: sehogy (minden mehet mindenhová), Ea 
vagy szigorúan (csak HIITP és HITPS mehet 
ki a külvilágba az ügyfélgépekről). Amint lát 


[7] Enable Port Forwarding 


IP Address: Protocol: Both "v PortRange: Comment: 


juk, a portok kezelése megoldott, kintről be- 


felé nem jöhet más, csak aminek mi magunk 
Current Port Forwarding Table: 








nyitottunk kaput, bentről kifelé meg úgysem ( PortRange Comment Select 
4 B § 192.168.1.100 TCP 443 (a 
lehet minket megtámadni. 
[ Delete Selected ] l Delete All ] l Reset ] 








Micsoda tévedés! 





1. ábra. Minden HTTPS-kérést a 192.168.1.100 címre 
Portátirányítás a gyakorlatban továbbít ez a szabály 
A portátirányítás egy teljesen legális, sok- 
szor életmentő művelet, amelyik arra szolgál, hogy ha egy ügyfélporogram mondjuk az 1433-as 
portra szokott csatlakozni, de a kiszolgáló egy másik porton fut, a két komponens egymásra 


találjon. Felmerülhet a kérdés, hogy miért nem futtatjuk a kiszolgálót is az 1433-as porton, 
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és kész? Például azért, mert az már foglalt: 
ugyanebből a kiszolgálóból fut már egy pél 
dány azon a porton, de nekünk nem ez a pél 
dány fog kelleni. 

Talán sokan felismerték: az 1433-as az 
SOL Server, egészen pontosan a , Default 
Instance" nevű példány portszáma. Ha egy 
kiszolgálón egynél több SOL Server-példány 
fut (mondjuk még egy SOL Express is, hogy 
csak valami teljesen hétköznapi esetet hozzak 
példaként), a többi példány nem futhat már 
az 1433-ason, mert az foglalt. 

Hogyan találják meg ezek után az ügyfél 
programok a további példányokat? Úgy, hogy 
UDP-n , betelefonálnak" az 1434-es porton 
futó portátirányítóhoz, amelyik megmondja 
nekik, hogy aktuálisan melyik porton fut a 
többi SOL Server, és a válasz alapján portot 
váltanak. (Az 1434-es port egyébként másról 
is híres: Slammer!) 

További legális és szükséges portátirányí- 
tásokat is felhozhatnék példaként, itt van 
mindjárt a NetBIOS Endpoint Mapper 
(epmap) a 135-ös porton, illetve hozhatnék 
példát arra is, hogy valami nem a megszokott 
portszámon fut (kipublikált Terminal Server 
a 3389 helyett egy másik porton), hogy belás- 


suk, nincs ebben semmi rossz. 


NetCat ín action 

Elérkeztünk a NetCat világához. Ezt a prog- 
ramocskát azért fejlesztette ki egy Hobbit 
nevű programozó a múlt évezredben, hogy 
általános megoldást adjon a különböző por 
tok közötti kapcsolatteremtésre. Ami bejön 
a 3390-es portra, átdobjuk a 3389-esre stb. 
Erre úgy képes, hogy ha egy ügyfélprogram 
mondjuk az 550-ös portra akar kapcsolódni, 
a NetCat az alábbi paranccsal rácsatlakozik 


az 555-ösre, majd továbbítja azt a 666-osra: 





Ezi CAWinc wsi ttem3. 
hag Al A; E. HZ 201, 








nc-l -p 555 ] nc localhost 666 


A parancsot előszeretettel használják tűz- 
falon átlépésre (8053389), illetve LPR nyom- 
tatási feladatokhoz. 


Készítsünk egyszerű 
Telnet-kiszolgálót NetCattel! 

Mi sem egyszerűbb! Hallgassunk a Telnet 
porton, és ami ott bejön, küldjük bele a cmd. 
exe-be (2. ábra). 

Próbáljunk rácsatlakozni egy másik gépről 
(másik ablakból) (3. ábra). 

Én a kísérletet egy gépen hajtottam végre, 
de természetesen a dolog működik nagyon- 
nagyon távolra is. Amit a kliensen begépelek, 
a szerveren fut le, majd a válasz a kliens abla- 
kában megjelenik. 

Működne ez mondjuk a 443-as (HTTPS) 
porton is? Persze, a NetCatnek édes mindegy 
a portszám. 

De hol fenyeget ez minket? Mi ebben a 
veszélyes? Hiszen ahhoz, hogy bárki távme- 
nedzselje a gépünket, először is oda kellene 
másolnia a NetCatet, majd el kellene indí 
tamia [kapcsolóval sőt még a tűztalunkon 
is létre kellene hoznia egy publikálási sza- 
bályt. Amennyiben olyan buta lenne, hogy a 
TEP-csatornát s normális "irányban hasznal: 
ja. Merthogy a NetCattel ez fordított irány- 
ban is megy! 

Mire gondolok? 

1. Nyissunk portot egy általunk üzemel 
tetett, interneten lévő gépen, mondjuk, 
a 4438-as porton, és kezdjünk hallgatózni 
NetCattel: 


nc-L -p 443 


2. Indítsuk el a belső, tűzfallal védett gé- 
Deme Ect igy 


nc localhost 443 -e cmd.exe 


Hoppá! Ez sikerült! Kaptam odakint egy 
command promptot a belső gépre! Pedig a kap- 
csolat bentről kifelé épült fel, amit még a legszi- 


gorúbb tűzfalak is engedélyeznek. (Megjegyzés: 








3. ábra. Telnet-, kliens" 
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azért nem a 80-as portot választottam, mert 
abba a HTTP proxyk belekotyognak, elront 
ják. Az SSL-nek tűnő 4483-as porti forgalomba 
azonban nem. Az ISA Server egyáltalán nem. 
Tudom, Zorp, de azt is tudom, hogyan kell azt 
is átverni: SSL handshake kell neki!) 

Peeersze, aztán hogy kerül a belső gépre a 
NetCat? És ki indította el? 


A biztonság negyedik alaptörvénye 

A tíz pontból álló törvénytábla itt olvasható 

eredetiben: 

http:/www.microsoft.com/technet/ 
archive/community/columns/security/ 
essays/ J0imlaws.mspx?mfr-true 

Ennek negyedik szabálya az alábbi furcsa 
megállapítást teszi: , Ha megengeded egy rossz- 
akarónak, hogy programot töltsön fel a web- 
helyedre, az nem a te webszervered többé." 

Ki hallott maátrrolyat, hogy tuttatható kó- 
dot engednek feltölteni, majd futtatni web- 
szervereken? Én. Úgy hívják, CGLprogramo- 
zás. A programozó megírja a CGLalkalima 
zást, feltölti FIP-vel, ami majd a távoli gépen 
fog futni. Elég, ha a megfelelő URL-t meghí- 
vom kívülről, és máris enyém a géped. 

,, ...AZ nem a te webszervered többé." 

Szerencsére ez a , jelenség" kihalóban van, 
[IS6 alatt kifejezetten kézzel be kell regisztrál- 
ni minden .exe-t Web Service Extensionként, 
ezért érdemes elgondolkozni más futtatási 
módszereken: 

a Ráveszem a webgazdát, hogy indítsa el ne- 
kem, úgy, hogy beágyazom egy fontosnak 
tűnő XLS-be makróként a NetCat letölté- 
sét, elindítását a megfelelő paraméterek- 
kel. Kipróbáltam, ha az Exceltábla tartal 
ma fizetéssel vagy adózással kapcsolatos, 
minden ismeretlen makrót gondolkodás 
nélkül elindít mindenki! 

an Ha nagyon lyukas a rendszere, egy sima 
(Cross Site SCrIPtIME 15 megteszi. 

an Beküldöm a vállalathoz Mariska néninek, 
becsomagolva valami ,szépbe". Már ha 
exe-k bejutnak... 

a Hazaküldöm Mariska néninek az otthoni 
címére, ott mindenképpen megkapja, és 
majd az ő VPN-kapcsolatán megyek to- 
66 

n Stb. 

Ilyen a világ. 

Fóti Marcell 
Security MVP, MCT, MCSE, MCDBA, MZ/X 
(marcellfonetacademia. net) 
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ÉGY KIS 
SPAMLÉLEKTAN 


CCA Pe 





Ahhoz, hogy megértsük, miért is olyan nehéz harcolnunk 


a spam ellen, a legcélszerűbb, ha nekiállunk e-mailt boncolni. 


Méghozzá születés közben, illetve megérkezés után is. 


em, most nem levelezőkliensből állítjuk elő a levelet. Inkább gyártunk egy levelező- 
klienst. Indítsunk el egy command promptot. (Haladóbbak puttyolhatnak is.) Mielőtt 
elkezdenénk gépelgetni, jelzem, hogy a következő parancsok nem mindig hozzák meg 


a , megfelelő" végeredményt. Ahhoz ugyanis, hogy az eljárás működjön, a megcélzott levelező- 


szervernek open relay módban kell működnie. 


cx C:IWINDOWSYsystem321cmd.exe 


220 c 1.ankh.morpork Mi1croso 
007 74 menj 30. 40200 


s 
250 clacki ankh.morpork Hello [192.168.201.101] 
i1] from: postmastertGankh.morpork 
250 2.1.0 postmasterGankh.morpork. . 
rcept to: rablo39émi Ikyway.universe 
250 2.1.5 rablo39ámi Ikyway.universe 
ata 
354 Start mail input; end with cACRLF3.-cCRLF: 
om: ette XVI Benedek romia papa 
ubject: Eleted nagy lehetosege 
Kedves Baratom! !!! 
egbizhato forrasbol tudom, hogy labgomba ellen legjobb a PamPam labkoromlakk. 
KEEVELYES EGZEE KSE 
XVI Benede 


250 2.6.0 -CLACKII32F1jbXHvfa300000001€clack1.ankh.morporkz Oueued mail for delivery 






-lD] 


24 Oct 2 a 














ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Wed, 





. .Sender OK — 


221 2.0.0 clack1.ankh.morpork Service closing transmission channel 





Connection to host lost. 





: Documents and SettingsYádministratorz 





1. ábra. Egy levél elküldésének lenyomata SMTP-parancsokban 












Sze 2007. 






ka  Oszentsege ... Eleted nagy lehetosege 









Szo 2007 
Cs 2007. 
Cs 2007. d 
sze 2007. 
Sze 2007. 
Szo 2007. 


CD] 


sat attert es észsáttzál (Plain Úz 


From: Oszentsege XVI Benedek romia papa Sent: Sze 2007. 10. 24. 21:23 


To: 
kes 
Subject: Eleted nagy lehetosege 




















Kedves Baratom!!!! 
Megbizhato forrasbol tudom, hogy labgomba ellen legjobb a PamPam labkoromlakk. j 
Szivelyes udvozlettel, 

XVI Benedek 
















2. ábra. Hamisított levél az Outlookban 


NOVEMBER-DECEMBER 


Ez röviden azt jelenti, hogy a szerver bár- 
kitől elfogad minden különösebb ellenőrzés 
nélkül továbbítandó levelet. Szerencsére ilyet 
ma már egyre nehezebb találni. 

De most, az elv megértése céljából hasba 
szúrtam a tesztszerveremet. 


Tehát, támadjunk meg egy levelezőszervert: 


telnet clackI.ankh-morpork 25 


A 25-ös portot az SMI P-protokoll használ 
ja, példánkban tulajdonképpen egy SMIP- 
párostáncot, azaz sessiont szeretnék bemutat 
ni. SMIP-parancsokat adunk az SMIPtszer- 
vernek, az pedig reagálni fog rá. 


Persze, először beköszönünk neki: 
Helo Geza 


Nyilván lesz, akit zavarni fog, hogy ő nem 
Géza. Igazából mindegy. Bár itt a saját gé- 
pünk nevét kellene beírnunk, de nem na- 


gyon szokták ezt ellenőrizni a szerverek. 


Írjuk be a feladót: 
mail from: postmasterDankh.morpork 


Ez a cím nem véletlenül lett kiválasztva. A 
levelezőszerverek általában úgy vannak beál 
lítva, hogy a postmaster az isten, és a saját do- 
ménjükből szívesebben fogadjanak el levelet, 
mint máshonnan. 

A feladó után adjuk meg a címzettet. Azt 


mondja: 


rept to: rablo39(omilkyway.universe 


[A 
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Egy rendesen beállított levelezőszerver leg- 
később ezen a ponton mondaná azt, hogy kí 
vdrasasablos 

Fontos: eddig a levél borítékját töltöget 
tük. A levélpapírra íráshoz bele kell mász- 


nunk a Data parancsba. Írjuk is be: 
Data 


Ekkor egy úgynevezett levélszerkesztő 
üzemmódba kerülünk, amelyből a ". karak- 
ter begépelésével tudunk kilépni. 

A levélpapíron szintén meg lehet adni egy 


csomó értéket. Ilyeneket például, hogy: 
subject: Eleted nagy lehetosege 
Meg ilyeneket: 
from: Oszentsege XVI Benedek romai papa 


És itt most álljunk meg egy kicsit! Írtunk 
egy feladót a borítékra (mail from:) és most 
írtunk egyet a levélpapírra (from:) is. Melyik 
lesz az igazi! Attól függ. 

A levél szállítása közben a borítékra írt 
cím játszik, de amikor a levelezőkliens meg- 
jeleníti a levelet, akkor már a belső, a levél 
papírra írt cím. 

Pontosan ez az első számú ok, amiért 
virágzik a spam. A most összerakott leve- 
lünk teljesen úgy fog kinézni, mintha maga 
Őszentsége adta volna fel. 

Hogy miért ő? Mert a spammer általá- 
ban igyekszik olyan tekintélyt állítani maga 
mögé, akinek feltétel nélkül hisznek az em- 
berek. 

A másik technika, amikor úgy szimulál 
nak megbízhatóságot, hogy a suttyomban 
feltelepülő rosszindulatú program a megfer- 
tőzött gépen lévő felhasználó címlistájából 
szed ki véletlenszerűen címeket, és ezeket te- 
szi meg feladónak, illetve címzettnek. 

Habár még cifrázhatnánk a fejlécet, de 
ennyi általában elég. Jöjjön a szöveg! Írjuk 


például azt, hogy 


Kedves Barátom! Megbízható forrásból tudom, hogy láb- 
gomba ellen a legjobb a PamPam lábkörömlakk. 
Szívélyes üdvözlettel, 

XVI. Benedek 


És akkor most jöhet a 7. 

A levél mindenesetre elment, mint az az 
Tabrán is látszüke 

A címzett pedig már olyan levelet fog lát 
ni, mint amilyet a 2. ábra mutat. 


Ugye, teljesen élethűnek látszik? 


1: 


A levél élveboncolása 
Jogos lehet a kérdés, hogyan lehet felismerni 
egy ilyen hamisított levelet? Úgy, hogy meg- 
vizsgáljuk a levél fejlécét. Nem, nem azt a 
szürke részt a levél felső harmadában, hanem 
a rejtett fejlécet. 

A 3. ábrán látszik, hol tudjuk elérni egy 
Outlookkliens esetén. 

Most pedig nagy levegő, vizsgáljuk meg a 
technoblablát: 


Received: from Moon.milkyway.universe (10.20.30.41) by earth. 
milkyway.universe 

(10.20.30.40) with Microsoft SMTP Server (TLS) id 8.0.685.24; 
Wed, 24 Oct 

2007 21:25:01 --0200 

Received: from clack1.ankh.morpork (192.168.201.30) by Moon. 
milkyway.universe 

(192.168.201.201) with Microsoft SMTP Server id 8.0.685.24; 
Wed, 24 Oct 2007 

21:24:18 4-0200 

Received: from Geza ([192.168.201.101]) by clackI.ankh.mor- 
pork with Microsoft 
SMIPSVC(6.0.3790.1830); 
--0200 

From: Oszentsege XVI Benedek romia papa 

Subject: Eleted nagy lehetosege 

BCC: 

Return-Path: postmasterDankh.morpork 

Message-ID: GCLACKIISZFTjbXHVfa300000001orclackl. 
ankh.morpork— 

X-OriginalArrivalTime: 24 Oct 2007 19:22:32.0215 (UTC) FILETI 
ME—[39855A70:01C81673] 

Date: Wed, 24 Oct 2007 21:22:32 -4-0200 

MIME-Version: 1.0 

Content-Type: text/plain 

Received-SPF: Fail (earth.milkyway.universe: domain of does 
not designate 

10.20.30.41 as permitted sender) receiver— earth.milkyway. 
UNÍVEISE; 

client-ip—10.20.30.41; helo— Moon. milkyway.universe; 
Received-SPF: Fail (Moon.milkyway.universe: domain of does 
not designate 

192.168.201.30 as permitted sender) receiver Moon.milky- 
Way.UNiVerse; 

client-ip—192.168.201.30; helo—clack1.ankh.morpork; 
X-MS-Exchange-Organization-SCL: 5 
X-MS-Exchange-Organization-PCL: 2 
X-MS-Exchange-Organization-Antispam- Report: 
DV:3.3.4604.600 


Wed, 24 Oct 2007 21:21:15 


Nem, ez nem kínaiul van. Simán olvasha- 
tó. Csak tudni kell, honnan kezdjük el, és 
merre kell haladnunk. 

A levél útvonalának visszafejtése a From 
sor feletti résszel indul - és hátulról me- 


gyünk előre. 


Received: from Geza ([192.168.201.101]) by clackI.ankh.mor- 
pork with Microsoft 
SMTPSVC(6.0.3790.1830); 
--0200 


Wed, 24 Oct 2007 21:21:15 


Ez az első ugrás. Látható, hogy az első le- 


velezőszerver, a clack1.ankh.morpork levelet 





E ze 


kapott a magát Geza néven azonosító, egyéb- 
ként 192.168.201.101 IP című gépről. A levél 


érkezési ideje 21 óra 21 perc. 


Received: from clackI.ankh.morpork (192.168.201.30) by Moon. 
milkyway.universe 

(192.168.201.201) with Microsoft SMTP Server id 8.0.685.24; 
Wed, 24 Oct 2007 

21:24:18 3-0200 


A második ugrás. A fogadó levelezőszerver 
a Moon.milkyway.universe szerver, a küldő 


a clack1.ankh.morpork. A levél átpasszolási 


ideje: 21:24. 


Received: from Moon.milkyway.universe (10.20.30.41) by earth. 
milkyway.universe 

(10.20.30.40) with Microsoft SMTP Server (TLS) id 8.0.685.24; 
Wed, 24 Oct 

2007 21:25:01 --0200 


Az utolsó ugrás. A címzett postafiókja az 
Earth.milkyway.universe szerveren van, a le- 


vél a Moon.milkyway.universe szerverről ér- 


kezett, méghozzá 21:25-kor. 








Inbox 
DD  ülFrom Subject 


id Date: Today 
$ O:mui SEN — legeelsiete 3 








e: Ugyis visszapattan 
ayed: Ugyis visszapattan 
Nnna? 


Find All 
£3) Create Rule... 


Junk E-mail 
romia papa 
Megbizhato forrasbol tudom, hogy labgomba ellen legjobb a PamPam labkoror 


Szivelyes udvozlettel, 
XVI Benedek 











Message Options 
Message settings Security 


a] a 


aj Importance: Normal 


Sensitivity: 


Tracking options 


Delivery options 





[JExpires after: ft 


cnn ] [ 


aa etllicontent-Type: text/plain 











teceived-SPF: Fail (Moon.milkyway.universe: domain of does not designate 
192. 168.201.30 as permitted sender) receiver -Moon. milkyway.universe; 
dient-ip- 192. 168.20 1.30; helo-dack1.ankh.morpork; 





3. ábra. Így jutunk el a levél fejlécéhez 


Van ebben bárhol vatikáni szerver? 
De ha nem akarunk ennyit nyomozni, a 


gyors választ megtaláljuk a következő sorban: 


Microsoft TechNet 
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Return-Path: postmasterDankh.morpork 


Itt van az igazi feladó. 

Megcsíptük a második okot arra, hogy 
miért nehéz küzdeni jelenleg a spam ellen. 
Tegye fel a kezét az a rendszergazda, aki ter- 
mészetesnek tartja, hogy a felhasználói ma- 
guktól ki fogják találni, hogyan kell egy levél 
fejlécéből kinyerni az információkat? legye 
fel a kezét az a rendszergazda, aki szívesen 
vállalkozna arra, hogy megtanítja erre mind 
a sok száz alkalmazottat? És akkor a tömér- 
dek otthoni emberről nem is beszéltünk, 
akiknek még rendszergazdájuk sincsen. 

Semmibe sem kerülne bármelyik - hang- 
súlyozom: bármelyik - levelezőkliensbe be- 
lerakni egy olyan nyomógombot, ami rákat 
tintva felhasználóbarát formában mutatná 
meg a fejléc információit. Milyen állomáso- 
kon keresztül jött a levél? Mikor volt az egyes 
szervereken? Ki az igazi feladó? De nincs. Én 
legalábbis nem ismerek ilyen klienst. 

Pedig van ott még számos egyéb érdekes- 
ség is, vessünk csak egy pillantást az X me- 
zőkre. Az e-mail felépítését az [I-szakma szab- 
ványai, az úgynevezett RFC-k írják le (281, 
2281, 2282). Az X mezők kívül esnek ezen a 
szabványon, mégis hasznosak. 

A legegyszerűbb, ha egy példán keresztül 
mutatjuk be, mik ezek. 

Posta, csomag. Mit csinál a postás? [gen, 
átveszi a csomagot, ráfirkál valamit a tetejé- 
re egy vastag filctollal, aztán felhajítja a kis- 
kocsijára. Nemcsak a csomag, hanem az idő 
is repül - és már meg is érkezik a csomagocs- 
kar Mit csinál a túloldali postás" Elolvassa a 
szabványos szöveget, hozzáolvassa a filctollal 
írt szöveget, és mindent tud - pedig a filc 
tollas szöveg nem szabványos. De a megyé- 
jükben van egy egyezség, hogy mit, hogyan 
jelölnek. 


Received-SPF: Fail (earth.milkyway.universe: domain of does 
not designate 

10.20.30.41 as permitted sender) receiver— earth.milkyway. 
UNÍVEISE; 

client-ip—10.20.30.41; helo—Moon.milkyway.universe; 
Received-SPF: Fail (Moon.milkyway.universe: domain of does 
not designate 

192.168.201.30 as permitted sender) receiver—Moon.milky- 
Way.UNiVerse; 

client-ip—192.168.201.30; helo—clack1.ankh.morpork; 
X-MS-Exchange-Organization-SCL: 5 
X-MS-Exchange-Organization-PCL: 2 
X-MS-Exchange-Organization-Antispam-Report: 
DV:3.3.4604.600 


NOVEMBER-DECEMBER 


Ezt a fejlécdarabot az előző levél fejlécéből 
kaptuk elő. Amiket itt látunk, azok mind a 
spam elleni harc jegyében kerültek bele a le- 
vélbe. Mivel X mező, így azok a levelezőszerve- 
rek, amelyek nem ismerik a konkrét mezőket, 


nem is bántják azokat. De amelyek megértik, 


azok tudni fogják, hogy a levél útvonalába 


CN Pe 


keznek. Ez a vizsgálat előtt eltávolít minden 
X-mezőt a levélből - így csak a tényleg valós, 
általa beállított értékek lesznek a továbbme- 
nő levélben. 

Mint látható, az e-mail hamisítása jelenleg 
nem bonyolult. Igaz, már alig van olyan iga- 


zi SMIP-szerver a neten, amely open relay 








al Mew Transport Rule 


E Intraductian 
E Cardittonz 

EL Actians 

I Exceptions 
L1 Create Rule 


Exceptions 


L1 Campletion 





Bi szazzaz 





LT except when the test patterns appears in the subject ar the bad af the message 
LT except when the test patterns appears in a meszage header 

[d except wheri the Frorn address contains test patterne 

- [d except when the test pálterns appears irr any recipient address 

1 Ed exzceptusith a spam confidence level (SCLI that iz areater than ar egual ta lirnit 

1 [d except when the size of any attachment iz greater than ar egual ta limit 

except when the messag 


GZ áz tak özká SAE 


, Step: Select exceptionís] If necessary: 

1 [d except when the test specific words appears in a meszage header 
LJ except when the Frarn address contains specific words 

Ld except when the test specific words appears in any recipient address 
HT except when the test patterns appears in the zubject 





e Iz Írom users inside ar autside the organization 


EE EzlZ összekötött is ázá 


altep z: Edit the rule description be clekinag an ünderlimed value: 
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4. ábra. S$pamszőrő transzportszabály a spammer cégnél 


eső két szerver - a moon.milkyway.universe 

és az earth.milkyway.universe - nem rendel 

keznek SPF-bejegyzéssekkel a DNS-ben, illet 
ve a konkrét levél heurisztikus elemzések sze- 

rinti SCL-értéke 5, PCL-értéke pedig 2. 
Hogy ne csak a szerverek értsék: 

n AzSPF technikáról részletesebben is írunk 
a magazin Edge Iransport szerverről szóló 
cikkében. 

u Az SCL szó szerint azt jelenti, hogy Spam 
Confidence Level, azaz spamvalószínűsé- 
gi index. Minél magasabb, annál valószí- 
nűbb, hogy a levél spam. A levelezőszer- 
vereken konfigurálni lehet, hogy egyes 
értékekhez milyen akciókat rendeljenek 
(karantén, eldobás stb.). 

a A PCL szó szerinti jelentése: Phishing 
Confidence Level, azaz phishing-valószí- 
nűségi index. (Aki esetleg nem tudná, a 
phishing az a technika, amikor egy valódi- 
hoz kísértetiesen hasonlító kamuweblapra 
irányítják a gyanútlan dolgozót, és ott be- 
kérik a jelszavát.) 

Persze a spammerek ravaszok, és védekez- 
nek őrült módra. Az X mezők ellen például 
úgy, hogy már eleve akkor, amikor hami- 
sítják a levelet, beleírnak kamu X-mezőket 
is. Ez ellen az okos spamfiltercszerverek egy 


úgynevezett Header Firewall elemmel véde- 


lenne - de ott van a tömérdek megfertőzött 
zombigép, amelyekről a tulajdonosuk nem is 
tudja, hogy a rajta futó funny.exe valójában 
egy SMI Piszerver. A harc folyik, kísérlet ren- 
geteg van (például az SPF, amely azért nem 
igazán terjed, mert senki sem meri eldobni 
az SPF nélküli levelet, vagy az az elv, hogy le- 
gyen valami irgalmatlan minimális költsége 
az emailnek, amely az átlagcéget nem zavar- 
ja, de a milliószám levelező spammert igen), 
de a spammerek mindig egy lépéssel a véde- 
kezők előtt lesznek. 

Ugyanis beszélhetünk arról, hogy azért 
könnyű a spammerek dolga, mert az SMIP 
protokoll olyan bénácska, amilyen. Nyilván, 
mert amikor kitalálták, akkor senkinek sem 
jutott eszébe, hogy az a tíz gép, amelyik hasz- 
nálta, ne bízzon meg egymásban. Mára meg 
már annyira elterjedt, hogy képtelenség meg- 
változtatni. Beszélhetünk, de tudomásul kell 
vennünk, hogy a spam melegágya a legembe- 
ribb tulajdonságok keveréke: hiszékenység, 
közöny, felelőtlenség, ostobaság és művelet 
lenség az egyik oldalon; kapzsiság, félrement 
értékrend a másikon. 

Sohasem fog megszűnni. 

Petrényi József 
Exchange MVP, MCSE--M, MCITP 
(petrenyi.jozsef(osao.hu) SA0-Synergon 
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A KIDOBÓEMBER 


Egy korábbi cikkben már a kopasz, kigyúrt kidobóemberhez 


hasonlítottuk az Exchange Server 2007 Edge Transport szerepkörét 


— és a hasonlatra azóta sem érkezett frappáns cáfolat. 
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az, aki kint él az utcán. Pontosan ismeri, ki mennyire kemény csávó. Pontosan tudja, 

ki mekkora pofonra van hitelesítve. Nem széplélek. Viselkedésében kissé hasonul is 

a légkörhöz, amelyben él. Megbízói sohasem lehetnek biztosak abban, hogy mennyi- 
re dolgozik nekik, és mennyire fertőzte meg az utcai világ. Emiatt nem is látják szívesen bent a 
bárban. Addig jó, amíg kint van, és nem engedi be a balhét - miközben odabent békésen csa- 
varodnak kromrúdta a szórakoztatóipari alkalmazottak. 

Nem túlzás, szó sincs róla. Csak a lengén öltözött hölgyek helyett képzeljük el a fénymásoló- 
gépet, a vendégek helyett az irodai alkalmazottakat, pincér helyett meg a szervereket. 

A főnök... az mindenhol főnök. 

Azaz lefordítva az informatika nyelvére: a cégnél pezseg az élet, az alkalmazottak felhasz- 
nálják a számítógépeket (néha ténylegesen is), időnként beszélgetnek, de inkább levelezgetnek 
egymással, na meg a külvilággal. Teszik ezt abban a biztos tudatban, hogy a levelezés mindig 
működik - és mindig jól működik. Pedig dehogy. A levelezés egyre kevésbé működik jól, leg- 
alábbis a levelezőszerverek üzemeltetői egyre elszántabban gyepálják a biteket, hogy ne legyen 
sem fennakadás, sem rosszindulatú betörés. 

Nyilván senki számára sem újdonság, hogy az igazi nagy háború a cég határvonalán zajlik. 
Ott kell megakadályozniuk a rendszergazdáknak, hogy a káros tartalmak bejussanak, a bizak 
mas információk pedig kijussanak. Az sem lehet senki számára újdonság, hogy erre a célra már 
évek óta vannak megoldások, mindenféle smarthostok, felturbózott célhardverek képében, 


amelyeknek stabil helyük a cég demilitarizált zónájában van. 


Szinkronban 

Erre a piacra lépett most be a Microsoft. Egy általános Exchange alapú levelezési rendszer 
olyan címtárra épül, amelyben szinte minden információ megtalálható egy cég Microsoft ala- 
pú informatikájáról. Nyilván logikus lépés volt ezt a rendszert egy saját alkalmazottal védeni 
- egy olyan alkalmazottal, aki ismeri a közös nyelvet a bentiekkel. 

Úgy is fogalmazhatnék: ahogy az Edge Transport funkció együttműködik, nem működik 
úgy együtt senki. És ez az a tulajdonság, amely életképessé teszi ezt a viszonylag későn meg- 
jelenő szereplőt. 

Persze jogos lehet a felvetés: nem túl veszélyes-e, ha az Edge Iransportszerver annyi min- 
dent tud a belső rendszerről? Ha része a címtárnak, akkor rajta keresztül a címtár is feltörhe- 
tő. Ne feledjük el, az ő helye is a DMZ-ben van. Nos, itt egy fura megoldás született: az Edge 
Iransportszerver része ugyan az Exchange-organizációnak, de nem része a címtárnak. Ugye, 
emlékszünk rá: az organizáció a címtárra épül. 

Mintha itt lenne valami ellentmondás. 

Oldjuk fel! Címtárból nemcsak egy létezik. Van a nagy címtár, az Active Directory. És van 
egy kisebb címtáracska, az ADAM (újabban AD LD9$). Működésüket tekintve meglehetősen 
hasonlóak: tulajdonképpen mindkettő egy ESE adatbázis alapokon nyugvó LDAPtszerver. 


Nyilván ezer különbség is van, de ebbe most ne menjünk bele. A lényeg az, hogy habár két kü- 
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lönböző LDAP:-szerverről van szó, remekül 
képesek együttműködni. 

És ez a trükkje az Edge Transportszer- 
vernek is. Egy úgynevezett EdgeSync folya- 
maton keresztül be tudja jegyezni magát az 
AD-ba úgy, mintha rendes benti Exchange- 
szerver lenne - illetve át tudja szippantani 
a feltétlenül szükséges információkat a saját 
ADAM-címtárába, anélkül, hogy bármilyen 
kritikus információt tárolna a belső rend- 
szerről. Érezhető, hogy ez a megoldás jobban 
fog passzolni egy működő levelezési rendszer- 


hez - de persze ez önmagában nem elég. 


Első lépések — telepítés, beállítás 

Az Edge Iransportszervert telepíteni fel 
hőtlen öröm. Természetesen kellenek hozzá 
a szokásos Exchange-előkövetelmények (az 
123-brigád: PowershellI, dotnet2 és MMC3), 
meg egész biztosan kétszer kell nekifutni a te- 
lepítésnek - az első úgyis csak azért lesz, hogy 
megmondja, mi hiányzik még neki. Persze 
precíz emberek lefuttathatják telepítés előtt 
az Exchange Best Practice Analyzert - de an- 
nak nincs semmi sportértéke. 

Szóval fent van. Azt hinnénk, hogy műkö- 
dik is. Naiv elképzelés. Igaz, fel van szerelve 
egy komoly levélpucoló készlettel, de alap- 
helyzetben nem fog levelet fogadni, és egyéb- 
ként sem lenne fogalma arról, hogy hová 
küldje tovább. Tulajdonképpen mindenféle 
send/receive szabállyal életre lehetne lehelni, 
de sokkal célszerűbb beindítani az EdgeSync 
folyamatot - akkor ugyanis ezek a szabályok 


automatikusan létrejönnek. 


A levél routolása 
De még most sem a folyamat leírása követ 


kezik. Röviden tekintsük át, hogyan is mű- 


Microsoft TechNet 
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ködik a levél routolása egy Exchange2007 
rendszerben. Routing group, ugye az nincs. 
Link State tábla, routing master funkció 
szintén nem létezik. A routolás alapegysége 
az AD-telephely, a routolás matekozásához 
szükséges súlyértékek az AD site-konnekto- 
raihoz rendelt értékek. (De létezik külön Ex 
change-specifikus érték is, ha el akarunk tér- 
ni a címtárreplikációhoz használt értéktől.) 
Bridgehead szerver: a klasszikus értelemben 
szintén nincs, mivel a levelek sem szerverről 
szerverre pattogással közlekednek. 

Mielőtt egy levél elindulna a vándorútjára, 
a Hub Iransport szerver kiszámolja, hová is 
kellene eljutnia, majd egy úgynevezett direct 
relay segítségével közvetlenül a megcélzott 
szerverbe csattan be egy sessionnel. 

Természetesen ez a megcélzott szerver nem 
feltétlenül a megcélzott Mailboxcszerverhez 
legközelebb eső Hub Iransport (HTR) szer 
ver, ha útba esik egy explicit konnektor, ak- 
kor annak a rögzítési pontján bemászik a 
konnektorba, és a kijárati pontján kimászik. 
Ilyen explicit konnektorok jönnek létre az 
EdgeSync során. 

Ekkor ugyanis az Edge Iransportszerve- 
rünket hozzákapcsoljuk egy AD-telephelyhez, 
függetlenül attól, hogy a gép még csak nem is 
tartományi tag. Az Exchange-organizáció az 
adott telephelyhez tartozónak fogja tekin- 


teni, ugyanis a címtárban 





5 Active Directory Dornains and Trusts 
4 Active Directory Sites and Services [earth.milkyway. 
§ Active Directory Users and Computers (earth. milkywz 
24 ADSI Edit 
a Device Manager on local computer 
d DNS 
Event Viewer (Local) 
1E3. Microsoft Exchange 
É (ása) Organization Configuration 
aa Mailbox 
at Client Access 
(n Hub Transport 
veri Urified Messaging 
E- 3 Server Configuration 
aa Mailbox 
A Client Access 
Za: Hub Transport 
Er Urified Messaging 
[6] 2 Recipient Configuration 
En Toolbox 
3$ Local Computer Policy 
ag Default Domain Controllers Policy (earth. milkyway.uni 
a Default Domain Policy (earth. milkyway. universe] Polic 
Services (Local) 
E WINS 


Remote Domains 


Journaling 


d ánkh-morpork 











2 EdgeSync - Default-First-Site-Name to Internet 
3 EdgeSyne - Inbound to Default-First-Site-N ame 


Transport Rules 
Anti-spam 


] — E-mailáddress Policies  ] 
Edge Subscriptions ] 


Accepted Domains 
Send Connectors 





Enabled 
Enabled 
Enabled 





EdgeSync - Default-First-Site-Name to Internet Properties 


General ] Address Space . Network ] Source Server ] 


Select how to send mail with this connector: 


C Use domain name system (DNS) "MxX" records to route mail automatically 


TT Enable Domain Security [dotualáuth TS] 


ds Add 7 Edit XX 


Smart host authentication: 


Change... ] 


None 


IT UsetheExternal DNS Lookup settings on the transport server 





2. ábra. Edge Transport-szerverek a telephelyeken 


Mondanom sem kell, nem csak szállítási 
konnektorok jönnek létre a szinkronizációs 
folyamatban, minden olyan információ át 
kerül az ADAM-be, amely a routoláshoz és a 
levelek pontos kezeléséhez kell: 

a Send connector: konfigurációs adatok; 
a Accepted domains; 

a Remote domains; 

a Message classifications; 

n Safe Senderslisták; 

a Recipientadatok; 





létrejön egy ExchServerSite 
érték a szerver számára - 
márpedig amikor a routo- 
lás kalkulálódik, akkor a 
szerverek a címtárhoz for- 
dulnak. 

Ennek vannak persze kö- 
vetkezményei is: 


an Egy Edge Iransportszer- 


EDGE-B-01 


vert csak egy telephely- 
hez lehet hozzárendelni. 
an Másik telephelyhez új 
Edge 


kell, de simán mehet 


Iransportszerver 


EDGE-A-01 





HUB-B-0O1 
2. 


HUB-A-01 HUBA - 02 








ugyanabba a DMZ-be. 
an Amikor 


Edge Iransportszervert, 


beépítjük az 


akkor rögzülnek a kapcsolatai a telephely 
Exchange HT R-szervereivel. Amennyiben 
új HTR-szerver kerül a telephelyre, nincs 
mód kiterjeszteni rá a szinkronizációt: gya- 
korlatilag le kell bontani az EdgeSyncet, és 
újra kell futtatni. 
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1. ábra. Automatikusan létrejövő EdgeSync-konnektorok 


a "TLS Send- és Receive Domain Secureis- 
ták; 

n Internal SMIP Servers-listák; 

a azAD-telephely - ahová az Edge Iransport 
szerver feliratkozott - HITR-szervereinek 


listája. 


És akkor nézzük végre, technikailag ho- 


gyan is történik egy EdgeSync megvalósítása! 


Az EdgeSync működése 

a Érdemes meggyőződnünk, hogy a belső 
tűzfalon nyitva van-e befelé a 25-ös port, 
illetve kifelé a 25, 50389, 50636 portok 
az Edge ésa HUB Iransport szerverek kö- 
zött. (Ez utóbbiak a secure LDAP miatt 
kellenek.) 

a A New-EdgeSubscription cmdlettel legyár- 
tunk egy xmlfájlt az Edge Iransportszer- 
veren. (Ebben a fájlban lesz az a credential, 
amelyik beleírhat az ADAM-adatbázisba.) 

a Az xmlífájlt USB-kulcson átvisszük, és im- 
portáljuk valamelyik HUB Iransportszer- 
veren, akár a NewEdgeSubscription pa- 
rancs segítségével, vagy akár a grafikus 
felületről. 

a A startedgesynchronization parancs ki 
adásával megspórolunk magunknak pár 
óra idegeskedést (bár magától is lefutna 
valamikor). 

Mint említettem, a send/receive konnek- 
torok automatikusan létrejönnek, méghozzá 
olyan logika szerint, hogy a kifelé menő le- 
velek az Edge Iransportsszerverről induló - 
outbound - konnektorba bújnak bele, amely 
DNS-névfeloldás alapján szórja ki a leveleket 
az internetre. A befelé jövő levelek szintén az 
Edge Iransportszerverre leszúrt - inbound 
- konnektorba bújnak bele, a konnektor ki- 
menete pedig... bármi, ami szóba jöhet. Igen, 
ez egy új terminológia, külön jelölés is van 


rá, így néz ki: -. Jelen esetben ez azt jelenti, 


ya 


XN 
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hogy minden olyan HI R-szerver, amely azon 
a telephelyen van, ahová az Edge Iransport 
szervert becsatlakoztattuk. 

Amikor az egyes szerepkörökkel ismerked- 
tünk (http:/tinyurl.com/yaxwcu), elolvas- 
hattuk, hogy a szállításért felelős szerverek 
mindegyikének kettős feladata van: a HUB 
Iransportszerverek a céges házirend betarta- 
tásával (szabályok, journaling, managed fol 
ders) foglalkoznak a szállítás mellett, az Edge 
Iransportszerverek másik fontos feladata vi- 
szont a levelezési higiénia betartatása. (Most 


tekintsünk el attól, hogy a határvonalak egy- 


irat ATA 


azaz szállítási ügynökök 





Beépített 

n Transport Rule Agent 

n Edge Rule Agent 

a Journaling Agent 

n Rewrite Agent 

m És még sokan mások, leginkább spam-adjusztá- 
lás céljából 

Külső gyártók ügynökei; itt léphetnek be 

n A külső víruskereső-gyártók 

n A külső spamfilter-gyártók 

a Lacika, a főnök unokaöccse a saját levélleválogató 
szoftverével 








általán nem tűhegyes redisz-tollal lettek meg- 
húzva, mindkét szerver - korlátozott funk 
cionalitással ugyan, de - bele tud piszkálni a 
másik feladatkörébe.) 


A szállítási ügynökök 
Nézzük akkor a levélpucolást. 

Illetve, még ne nézzük - tisztázni kell 
ugyanis egy struktúrát: az úgynevezett szál 
lítási ügynökök struktúráját. Ezek azok az 
ügynökök, amelyek Tie-vadász kabinjukban 
cikáznak felalá az SMTP-engine körül, és 
amint olyan esemény történik, ami felingerli 
őket, azonnal lecsapnak. 

Azaz látható, hogy a szállításért felelős ügy- 
nökök és a higiéniáért felelősügynökök ugyan- 
abba a struktúrába épülnek be, és ugyanúgy 
is működnek. És ugyanez az infrastruktúra 
áll a külső gyártók rendelkezésére is. 

Akkor most már nézhetjük az Edge Irans- 
portszerver ügynökhadseregét (táblázat)! 

Mindegyiknek van egy remek folyamat 
ábrája, hogy pontosan hogyan, milyen sza- 
bályok alapján működik. Ebbe most nem 
mennék bele, hiszen a témáról már megje- 
lent korábban egy részletes cikk a magazin- 
ban (http:/tinyurl.com/ 2eggay). Érdemes vi- 
szont kiemelni a szereplőket - és elmesélni 
pár érdekességet a viselt dolgaikról. 

Connection filtering. Ez a tipikus IP 
Allow list/IP Block list alapú szűrés. Saját 





és fi Ea! B 
ca Microsoft Exchange - Edge Transport 
TERÉN EZe sport 


edge Ira 


Je írat : ZAL NGTSZB 
én Toolbox "f Create Filter 










. Actions 
Edge Transport 
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I Refresh 










Disable ánti-sp... 
€21 New Receive ... 
€2 New Send Co... 
Receivi Ég New Transport... 
43 New áccepted... 
Properties 









(AIP Allow List Providers —— Enabled 

(GJ1P Block List Enabled . Content Filtering 
(a11P Block List Providers Enabled a Disable 

(a Recipient Filtering Enabled Properties 

(91 Sender Filtering Enabled 

(87 Sender ID Enabled E? Help 

(8 Sender Reputation Enabled 














3. ábra. Antispam ügynökök 


2 2 





Pvát utana Mire harap? 
Connection Filtering Agent OnConnectEvent, 
OnMailCommand, 
OnRcptCommand, 
OnEndOfHeaders 
Address Rewriting Inbound Agent OnRcptCommand, 
OnEndOfHeaders 
Edge Rule Agent OnEndOfData 
Content Filter Agent OnEndOfData 
Sender ID Agent OnEndOfHeaders 
Sender Filter Agent OnMailCommand, 
OnEndOfHeaders 
Recipient Filter Agent OnRcptCommand 
Protocol Analysis Agent OnEndOfHeaders, 
OnEndofData, 
OnReject, 
OnRsetCommand, 
OnDisconnectEvent 
Attachment Filtering Agent OnEndOfData 
Address Rewriting Outbound Agent . OnRcptCommand, 
OnEndOfHeaders 


magunk is szerkeszthetjük a listákat, de elő- 
fizethetünk listaszolgáltatók listáira (RBL) is. 

Content Filter Agent. , Aki" az úgyneve- 
zett SCL-értéket (Spam Confidence Level) 
belevési a levélbe. Van leánykori neve is, va- 
lamikor úgy hívták, hogy Intelligent Message 
Filter (IMF). Ebből kifolyólag, mint azt meg- 
szokhattuk, hétpecsétes titok, mi alapján szá- 
molja ki az SCL-értéket. Annyit lehet tud- 
ni róla, hogy statisztikai alapon működő 
értékeléssel minősíti a leveleket. Bízzunk a 
Microsoft Research-ben. Egyébként a minta- 
frissítéseket is ők küldik. 

Azért ne érezzük úgy, hogy minket teljesen 
kihagytak mindenből. Ezen a szűrőn állítha- 
tunk be olyasmit, hogy megengedett kifejezé- 
sek listája, illetve blokkolt kifejezések listája - 
és itt van lehetőség szerkeszteni is mindkettőt. 

Fontos tisztázni a szerepeket: az Edge-szer- 
ver csak belerakja ezeket az értékeket a levél 
fejlécébe, mást nem csinál. Majd a Mailbox- 
szerver lesz az, aki végül eldönti, hogy ez alap- 
ján sima levél lesz a küldeményből vagy levél 
szemét. Még egy érdekesség: ez a szűrő képes 
lelkesen együttműködni az Outlookkliensek- 
kel. Egyfelől képes érzékelni az Outlook által 
a levélbe rejtett Outlook E-mail Postmark 
Validation jelzéseket, és az ilyen levelek SCL- 
értékeit automatikusan alacsonyra veszi. Más- 
felől a Safelist Aggregation komponens képes 


összegyűjteni a kliensek által biztonságosnak 


Microsoft TechNet 
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Provider name DNS suffix 





Cancel 


—0K  [/ Creed 
em —H 





Lookup dornairi 


e TT 


Return status codes: 


€7 Match any return code 


Match to the following mask: 


Match any of the following responses: 


új Determine the error message returned when a sender is blocked Error Messages... 


by a provider: 





ra mJCI7 
File  Actic XI] 
zal Gieneral  Providets ] Exceptions ] Add IP Block List Provider . XI] 
£3 Microsol Provider name: 
z8 Edg Block messages Írom senders listed at the followim  — . ői 
az Too a Add 


Cancel 











4. ábra. IP Block listaszolgáltató hozzáadása 


minősített feladók (Safe Senders List) címeit 
- és az ezekről a címekről érkező levelek min- 
denféle cécó nélkül jutnak be a szervezetbe. 
Sender ID. Ez az az elnevezés, amely mögött 
az SPF (Sender Policy Framework) technológia 
áll. Tipikusan spam elleni védekezésre talál 
ták ki. Bár terjed már valamennyire, de sajnos 
még nem nevezhető teljesen általánosnak. 
Nagy vonalakban arról van szó, hogy a 
rendszergazda felveszi az SPF-rekordokat a cég 
külső DNS-zónájába. Amikor valahová meg- 
érkezik egy általuk küldött levél, akkor az otta- 
ni spamfilter ellenőrzi, hogy a levél fejlécében 


(Received-mező) található IP-cím szerepel-e 


a feladó DNS-zónájában mint SPFErekord. 
Aztán ennek megfelelően viselkedik. Vagyis 
beleírja a levélbe, hogy mit tapasztalt. A tör 


lés/visszautasítás opciók beállí- 


nm Létezik-e a címzett? 

Az utóbbi funkciónál ad némi segítséget, 
hogy az Edge Iransportszerver saját mini 
ciditárába "imDOCtáltatátraz organizáció tel 
jes címlistáját rlamelyet természetesen frissít). 
Nem kell elmagyarázni, mennyivel gyorsabb 
ez, mint a külső gyártók termékei által meg- 
valósított egyenkénti távoli LDAP-ekérdezés. 

Beszéljünk most a tollba-kátrányba forga- 
tásról is egy kicsit. Mikor is nyúlunk ehhez 
az eszközhöz? Például, ha valaki betakarítani 
szeretne. 

Oké, megmagyarázom. Létezik egy olyan 
technika, hogy Email Harvesting. Az Egy kis 
spamlélektan című cikkben részleteztem az 
SMIP protokoll tánclépéseit. Amikor betel 
netelek egy levelezőszerverre, és megpróbá- 
lok címzetteket választani, a szerver vissza- 
válaszol, hogy , 250 2.1.5 Recipient OK" vagy 
5950 5. ETSér úaknown . 

Gyakorlatilag elég írnom egy programot, 
és tippelgetéssel már be is takaríthatom ve- 
le az adott cég összes élő címét. Ez ellen ad 


védekezést az úgynevezett kátránygödör (Tar- 





tását — amig ez a technológia 
nem válik általánossá - nem- 
igen ajánlanám. 

(Az Egy kis spamlélektan cí- 
mű cikkben található levélfej- e 


lécben megtekinthető az SPE- 








bejegyzés is.) 


(SHIP Block List Prov 
197 Recipient Filterinc General Action ] 
187 Sender Filtering 


187 Sender Reputatio 


Feature status I 
(87) Content Filtering Enabled 41 New áccepted... 
ISTIP Allow List Enabled Properties 
(SJIP állow List Providers Enabled 

v §i CC nmdne IN 
(S111P Block List kire lbátr ii: ti ja xi] 


If the Sender ID check fails, take the following action: 
C Reject message 


( Delete message 





Sender Filter. Nagyon ha- 8 6. ábra. Akció hiányzó SPF esetén 


sonló a Connection filtering 


ügynökhöz, csak amíg ott IP-címeket enged- 
hetünk, illetve blokkolha- 





tie  áction  Wiew 
Pp É 


A Microsoft Exchange 
J8 Edge Transport 
an Toolbox ] 


Content Filtering Properties 





General. Custom words Exceptions ] Action ] 


ta 


puma 


contains a word or phrase from the list above: 
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Messages containing these words or phrases will not be blocked: 


Messages containing these words or phrases will be blocked, unless the message 


Cancel Apply j Help j 


5. ábra. A Content Filter tulajdonságlapja 





xi tunk, addig itt a feladó 
címén  (9"biggerpenis. 
com) alapuló szűrést va- 
lósíthatjuk meg. A címet 
a szűrő a boríték MAIL 
FROM: mezőjéből veszi 
- kalkuláljuk ezt be, ami- 
kor a megbízhatóságát la- 
tolgatjuk. Sajnos ez a me- 
zó hamisítható. 
Recipient Filter. Szin- 
tén borítékvizsgálat, csak 
EzZéJSzZÜtÓ raz (kt EGO 
mezőt ellenőrzi. Alapve- 
tően kétfajta vizsgálat tör- 


ténik: 





a Rajta van-e a címzett va- 


lamilyen tiltólistán? 


pitting) technika: az "ismeretlen felhaszná- 

ló" jellegű választ az általunk meghatározott 

ideig késleltetjük. (A konkrét paraméter ne- 
ve Tarpitlnterval, és a receive-konnektoron 
kell állítani.) 

Attachment filtering. Kétféleképpen vizs- 
gálhatunk csatolást: 

a a fájl vagy a kiterjesztés neve alapján; 

n a fájl MIME-tartalomtípusa alapján. 
Protocol analysis. Kicsit félreérthető az 

ügynök neve - ugyanis nem analizál, hanem 

csak logol. Méghozzá ide: 

n CNrogram FilessMicrosoftvExchange 
Server IransportRoles4LogsN 
ProtocolLogYSmtpReceive 

n CNrogram FilessMicrosoftvExchange 
Server IransportRoles4LogsN 
ProtocolLogySmtpSend 
Address rewriting inbound/outbound. 


Annyit beszéltünk már az e-mailspoofolás 


yt 


A 
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elleni védelemről, épp itt az ideje, hogy mi is 

spoofoljunk egy nagyot. Hogy ez mit is takar? 

Azt, amikor belejavítgatunk a levél fejlécébe. 
Most egy kicsit a szürke zónába léptünk. 

A levélhamisítás ugyanis alapvetően csúnya 

dolog. 

De van, amikor muszáj. 

Képzeljük el, hogy két, önálló levelező- 
rendszerrel bíró cég egyesül. Vagy egy sok ap- 
ró cégből álló konglomerátum konszolidálni 
akarja a levelezését. Mindkét esetben lehet 
olyan elvárás, hogy a cégek egymás között 
használhassák az eredeti címeiket, de kifelé 
egységes címtartományból látszódjanak. 

Ide bizony kell a szike meg a varrótű! 

Az egyszerűség kedvéért tételezzük fel, 
hogy csak egy kijáratunk van az internet felé. 
A levelezésünk egy Edge Iransportsszerveren 
keresztül megy. 

m Az első lépésben az összes cégre vonatko- 
zó MXrekordot át kell állítani, hogy erre a 
levelezőszerverre mutassanak. 

an A második lépésben az összes tartományt 
fel kell venni az Accepted Domain listára. 

an Harmadjára egy e-mail address policy se- 
gítségével gondoskodnunk kell arról, hogy 
minden cég minden dolgozójának legyen 
egy Ocegnev.hu alakú e-mail-címe - de az 
alapértelmezett címe ne változzon. 

an Innen kezdve már csak azt kell megol 
danunk, hogy az összes kimenő levélnek 
mind a borítékján, mind a belső felén ki 
cseréljük a feladó címét kovacs.22.janos2 
irgum.burgum formátumról kovacs.22.ja- 
nosídcegnev.hu alakúra. Spoof. 

Vágjunk bele. Alaphelyzetben a rewriting- 


ügynökök le vannak tiltva. A megoldás: 


enable-transportagent -identity , address rewriting outbound 
agent" 


Majd felveszünk egy rewriting-szabályt: 


new-addressrewriteentry -name IrgumBurgum -externaladdress 
(Ocegnev.hu -internaladdress (Dirgum.burgum 


Ennyi. TIermészetesen legalább annyira 
meg lehet cifrázni, mint egy kalotaszegi le- 
gényest, de ebben a cikkben legyen elég ez az 
egy példa. 

Header firewall. Egyfajta kakukktojás. 
Nem ügynökként tevékenykedik, hanem egy 


ye 
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7. ábra. Így áll össze az építőkockákból a védelmi rendszer 


általános szállítási elemként. A spammerek 
sem ültek ugyanis tétlenül, miközben sorra 
jöttek ki a védelmi rendszerek. A levelek fej- 
lécébe - az Xx mezőkbe - rejtett SEL/PCLin- 
formációk ellen például úgy harcolnak, hogy 
már eleve beleraknak ilyeneket a levélbe, ter 
mészetesen jó alacsony értékkel. 

Védekezni úgy lehet ellenük, hogy nem bí- 
zunk meg senki spamfilterében, hanem mie- 
lőtt belekezdenénk a saját vizsgálatunkba, ki- 
pucolunk minden, nem oda való X-mezőt. 

Az automatikusan keletkező konnektoro- 
kon be van kapcsolva, az általunk létreho- 
zott konnektorokon a jogosultsági rendszer 


finomhangolásával állíthatjuk be. 


Vírusok elleni védelem 
Szép, szép. És eddig még csak a spamek el 
leni védelemről beszéltünk. Most jönnek a 
vírusok. 

Alaphelyzetben nincs semmiféle vírus- 
védelem az Edge-szerverben. Viszont kiépí- 
tettek egy nagyon praktikus becsatlakozási 


pontot - lásd transport agent - amelyen ke- 


resztül a külső fejlesztők könnyen bele tud- 
nak avatkozni a szállítási mechanizmusba. 
Emellett persze megmaradt a jó öreg VSAPI 
is, azok számára, akik idegenkednek az ügy- 
nököktől. 

Végül beépítettek egy olyan mechaniz- 
must, amely tárolja, ha egy levél már át lett 
vizsgálva, így a későbbi ellenőrzéseken már 
nem kell átesnie. 

Ez az alapeset. Nagyban megváltozik a 
helyzet akkor, ha van Forefront Security for 
Exchange Server nevezetű termékünk. (Ezt 
vagy külön megvesszük, vagy Enterprise-i- 
cenccel telepítjük az Edge Iransportsszerve- 
rünket.) A Forefront - leánykori nevén: Sy- 
bari Antigen - a Microsoft megoldása mind 
a vírusok, mind az egyéb férgek, adware-ek, 
trójaiak ellen. 

A fenti ábrán látható, hogyan működnek 
együtt a korábban tárgyalt védelmi kompo- 
nensek egy Exchange 2007-organizációban. 

Petrényi József 
Exchange MVP, MCSE--M, MCITP 
(petrenyi.jozsef(osao.hu) SA0-Synergon 
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CAN NP 


MENTÉS MÁSKÉNT 
— A SYSTEM CENTER 





DATA PROTECTION 


MANAGER 200/ 


A biztonsági mentések területén a jelek szerint lassabban jár az idő. 


Ugy tűnik, mintha az üzemeltetéssel foglalkozó szakemberek 


axiómaként fogadták volna el, hogy a biztonsági mentések 


készítésének kizárólagos ideje az éjszaka, a mentések hordozója 


pedig csakis a mágnesszalag lehet. 


következő írásban arra szeretnénk rávilágítani, hogy ez sokkal inkább beidegződés és 

kényszerűen kötött kompromisszum, mint axióma. A Microsoft System Center-termék- 

család részeként érkező Data Protection Manager 2007 pedig egyenesen ösztönöz arra, 
hogy felülvizsgáljuk a megkövesedett mentési gyakorlatot, és egy rendkívül rugalmas rendszer- 
rel váltsuk fel. 

Az első mondatokat olvasva felmerülhet a kérdés, hogy mi is a gond az eddig olyan jól bevált 
mentési megoldásokkal. A teljesség igénye nélkül lássuk csak a három legfontosabbat: 

Megbízhatóság. A megbízhatósággal kapcsolatban kétféle kétség merül fel. Az első kérdés- 
kör technológiai jellegű, hiszen a szalagos egységek a jelentős technológiai fejlődés ellenére 
egy nagyjából ötvenéves működési elven alapulnak. A technológiai sajátosságokból adódóan 
a helyreállítás sikeressége függhet például az egyes egységek beállításától, kopottságától. 
Ráadásul ezek a meghajtók nagyszámú mozgó alkatrészt (görgőket, szalagvezetőket, befűző 
mechanikákat, szervomotorokat) tartalmaznak, amelyek jelentősen csökkentik a meghajtók 
MTBE (Mean Time Between Failure) mutatóit. 

A Microsoftnál üzemelő szalagos egységek például a szakszerű üzemeltetés mellett is 17 szá- 
zalékos meghibásodási arányt mutatnak éves szinten. A merevlemezek meghibásodási mutatói 
manapság ennél már lényegesen jobbak, nem is beszélve arról, hogy az egy gigabájtra vetített 
beszerzési költségük is sokkal alacsonyabb, még akkor is, ha hibatűrő rendszerbe szervezzük 
őket. És akkor még nem is beszéltünk arról, hogy javításuk, cseréjük mennyivel egyszerűbb és 


gyorsabb, mint a szalagos egységeké, márpedig az idő az [I világában is egyre jobban mérhető 
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forintban vagy más tetszőleges pénznemben. 
A megbízhatósággal kapcsolatos másik kér- 
dés az üzemeltetési gyakorlathoz kapcsoló- 
dik. Annak ellenére, hogy a legtöbb mentési 
szoftver felkínálja a mentések visszaellenőr- 
zésének lehetőségét, a legtöbb esetben kikap- 
csoljuk ezt a funkciót, és jóhiszeműen arra 
hagyatkozunk, hogy a technika bizonyára 
precízen elvégzi majd a feladatát. 

Az ilyen döntéseknek leggyakrabban az 
időtényező az oka, de erről a következő pont 
ban még részletesen szó lesz. Az ellenőrzések 
kihagyásának következményeivel majd csak 
akkor szembesülünk, amikor teszt vagy éles 
visszatöltés során olvashatatlan szalagokkal 
találkozunk, vagy éppen magáról a meghajtó- 
ról derül ki, hogy nemcsak most nem olvas, 
hanem már hosszabb ideje nem is ír. 

A mentési ablak beszűkülése. A legtöbb 


vállalatnál a biztonsági mentéseket erre a célra 
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fenntartott időszakban készítik (, backup win- 
dow"). A mentés idejére kicsit megáll az élet, 
korlátozzuk az alkalmazások futását, leállítunk 
üzleti folyamatokat és szolgáltatásokat, hogy 
ezzel is elősegítsük a mentések sikeres lefutá- 
sát. Ez a megközelítés egy ideig teljesen műkö- 
dőképes lehet, de ahogy egyre jobban épít a 
vállalat a számítástechnika nyújtotta szolgálta- 
tásokra, és ahogy a mentendő adatmennyiség 
(egyébként egyre gyorsabban) növekszik, úgy 
nő az esélye annak, hogy a mentéseket már 
nem tudjuk elkészíteni a rendelkezésünkre 
álló időben. Átmenetileg persze kezelhetjük 
a problémát a visszaellenőrzés kikapcsolásá- 


val, a teljes mentések ritkí- 


Center Data Protection Manager 2007 jó 
eséllyel indul a különféle , alternatív" menté- 
si megoldások versenyében. Aki figyelemmel 
kíséri a Microsoft portfólióját, az emlékszik 
arra, hogy hasonló néven egy 2006-ból kel 
tezett termék is létezik; tudásban azonban az 
inkább csak vázlat vagy előtanulmány a na- 
pokban a TechEd II Forumon bejelentett új 
változathoz képest. 


Az új változat például teljes mértékben támo- 
gatja a 64 bites platformokat, míg a koráb- 
bival (legalábbis az SPI előtt) csak 32 bites 





tásával, a folyamatok pár- 
huzamosításával, de végül 
szembe kell néznünk azzal, 
hogy mindenképpen kifu- 
tunk az időből. 

A szolgáltatás kiesésé- 
nek költsége. Különösebb 
közgazdasági okfejtések 
nélkül is belátható, hogy 
a komputerizáció előreha- 


ladtával növekszik a válk 





lalatok informatikai füg- 


Microsoft 


System Center 
ata Protection Manager 2007 


Now loading.... 


W Microsoft 
Aa Windows Server System 








gősége. Vállalatunk, ügy- 
felünk piaci versenyben 
való helytállása tehát (egyre kevésbé) közve- 
tett módon függ az informatikai háttértől és 
szolgáltatásoktól, amit alkalmazottként vagy 
partnerként nyújtunk a számára. A helyzet 
egyenes következménye, hogy az informati 
kai szolgáltatások akár csak részleges kiesése 
komoly veszteségekkel járhat; ezért minden 
vállalat és szolgáltató érdeke az ilyen esetek 
elkerülése vagy legalábbis csökkentése. Ezen 
a ponton viszont szembesülnünk kell azzal, 
hogy magas rendelkezésre állás (vagyis a ki 
esés elkerülése) csak magas költségekkel biz- 
tosítható, míg a helyreállítási idő csökken- 
tése technológiai okok (szalagos meghajtók 
sebessége) miatt nem lehetséges. 

Mielőtt az ördögi kör teljesen bezáródna, 
ideje tehát, hogy - feladva a jól megszokott 
technológiákat és eljárásokat - valami olyan 
új megoldás után nézzünk, amellyel teljesíte- 
ni tudjuk az egyre növekvő elvárásokat. Ha 
pedig eközben olyan eszközre bukkanunk, 
ami a fentieken túl még az üzemeltetési fo- 
lyamatokat is egyszerűsíti, akkor mindenkép- 
pen eljött a váltás ideje. 


Az első tapasztalatok alapján a System 


I. ábra. Új tag a System Center-családban 


rendszereket menthettünk, sőt maga a DPDM 
is létezik és telepíthető 64 bites változatban. 
A korábbi rendszer közvetlen módon csak 
a fájlrendszer adatait volt képes menteni, 
az Exchange- és SOL-adatbázisokat a hagyo- 
mányos módon fájlba kellett menteni (natív 


eszközzel vagy ntbackup-pal), mielőtt a DPM 


System Center 
ata Protection Manager 
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2. ábra. Lényegesen kibővült funkcionalitás 


DPM Servers 


EJHA X ) 


gondjaiba vehette őket (lásd a 909644 számú 
tudásbázis-cikket). A DPM 2007-ben új foga- 
lomként jelenik meg az Application Protec- 
tion, amelyen az Exchange- és SOL-adatbázi- 
sok, a SharePointfarmok és Virtual Serveren 
futó virtuális gépek közvetlen védelmét kell 

érteni. Gondoljuk végig kicsit mélyebben a 

listát, és látni fogjuk, hogy egy átlagos Win- 

dows alapú infrastruktúrából alig marad ki 
valami, lényegében minden benne van: 

V a fájlrendszer; 

V a System State (benne a registry, az Active 
Directory, a tanúsítványtár, az IIS metabase 
stb.); 

V az Exchange-adatbázisok; 

V az SOL-adatbázisok; 

V a Sharepointfarmok; 

V a virtuális gépek (VHD-fájlok). 

A sokoldalú alkalmazhatóság technológiai 
háttere az árnyékmásolatok széleskörű és in- 
tenzív használata, ami lehetővé teszi, hogy 
adatbázisokat és nyitott fájlokat pillanatfel 
vételszerűen mentsünk. Ez a technológia az 
adatbázisok tranzakciós rendszerével és diszk 
alapú adattárolással ötvözve soha nem látott 
hatékonyságú mentési/ helyreállítási rend- 


szert biztosít. 


Itt érdemes néhány szót ejteni a szoftver 
hez kapcsolódó új szakkifejezésekről, mert a 
belső működés - akármennyire egyszerű is 
- csak ezek megértése után válik nyilvánva- 
lóvá. Minden adatmentés alapja egy kezdeti 
másolat (Initial Replica vagy Baseline lnitial 


Mirror). Ekkor a DPM gyakorlatilag lemásol- 


DPM 2007 
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ja a védendő adatot, legyen az egy megosztás, 
a System State, Exchange- vagy SOL-adat 
bázis(ok e vittgálisedíiszke v ELDA Ffájlóvágy Fa 
Sharepoint esetében fájlok és adatbázisok sa- 
játos keveréke. Természetesen ezek a kiindu- 
ló mentések is árnyékmásolattechnológiával 
készülnek, így nem szükséges az adatbáziso- 
kat vagy bizonyos szolgáltatásokat leállítani. 

A kezdeti és a rájuk épülő további men- 
tések az általunk választott mentési straté- 
giának megfelelően sorolódnak be. A rövid 
távú védelmi stratégia esetén (és általában 
is) az előnyben részesített cél a kiszolgálónk 
merevlemeze vagy egy SAN-on található lo- 
gikai meghajtó. Ebben az esetben beszélünk 
disk-to-disk vagy röviden D2D-stratégiáról. 
A hosszú távú stratégiát választva kapjuk 
a ,klasszikus" szalagos mentési lehetősége- 
ket, ilyenkor azonban számítanunk kell arra, 
hogy a visszaállítás rugalmassága korlátozot 
tabb lesz. 

Ez a disk-to-tape vagy D2I-megoldás. Ha 
teljes körű védelmet szeretnénk, akkor ter- 
mészetesen ötvözhetjük is a két módszert, és 
ekkor disk-to-disk-to-tape mentéseket készít 
hetünk (D2DZ2T), amellyel már komoly audit 
elvárásoknak is eleget tudunk tenni. 

Az alkalmazások mentésénél találkozunk 
még az Express Full mentéssel, ami gyakor 
latilag az élő adatbázis és a replika rendszeres 
újraegyeztetését jelenti. A rendszer ilyenkor 
meggyőződik arról, hogy a kezdeti másolat 
ból, az árnyékmásolatokból és a tranzakciós 
logokból felépített szintetikus mentés való- 
ban egyezik-e az élő rendszeren futó adat 
bázispéldánnyal, és szükség esetén javítja az 
eltéréseket, majd ezt az egyeztetett példányt 


használja a további mentések alapjául. 


Kezdeti lépések 
Az elméleti alapozás után lássuk, mivel és 
hogyan vághatunk neki a Data Protection 


Manager 2007 használatának! Először is 


hogy a mentendő adatok minimum másfél- 
szerese szükséges. Exchange- és SOL-adatbá- 
zisok esetén a kalkuláció alapja az adatbázi- 
sok mérete, és ehhez adódik hozzá a naponta 
keletkező tranzakciós logok mérete. A lemez- 
kapacitás rendelkezésre állhat helyben (belső 
diszkek) vagy más gyors elérésű formában 
CAN vágy ISCSÜ S. Fontosrazonban, hogy az 
adatmentésre szánt területet ne particionál 
juk és ne formázzuk meg, ezt majd a DPM 
dinamikus formában megteszi helyettünk. 
Természetesen  megtarthatjuk a szalagos 
mentőegységeinket is, és D2D2IT-mentések 
készítésére használhatjuk őket. A támogatott 
meghajtók listája tekintélyes hosszúságú, ide- 
értve a robotizált eszközöket is. (A teljes lis- 
ta az alábbi URL-en található: http://www. 
microsoft.com/systemcenter/dpm/partners/ 
tapelib.mspx.) 

A telepítés meglehetősen egyszerű folya- 
mat, mindössze arra kell figyelnünk, hogy 
magán a DPMt-kiszolgálón és az összes védett 
gépen fenn kell lennie a KB940349-es javí- 
tócsomag megfelelő változatának, ami az ár- 
nyékmásolatszolgáltatás harmadik generáció- 
ját tartalmazza. A DPM-kiszolgálón ezen felül 
természetesen követelmény a PowerShell je- 
lenléte, mert enélkül nem használható a 
DPM Management Shell. Kisebb környezet 
ben adatbázismotorként telepíthetünk egy 
helyi példányt a telepítő DVD-n található 
SOL Server 2005 Standard verzióból, komo- 
lyabb rendszerek esetén 


viszont célszerű független 


(4 DPM 2007 Administrator Consolc Fr 


CNN NR 


szekcióban beállíthatjuk a szalagos egységün- 
ket, feloszthatjuk és katalogizálhatjuk a sza- 
lagtárat, tehát felkészülhetünk a hosszabb 
távra tervezett mentéseinkre. Végezetül te- 
lepítenünk kell a mentendő gépekre a DPM 
ügynökét, ami nem megy minden esetben si- 
mán: a tapasztalat szerint ajánlatos a telepítés 
előtt a helyi tűzfalakat például egy netsh fire- 
wall set opmode disable paranccsal átmene- 
tileg kikapcsolni. Ha lehetőségünk van újra- 
indítani a célgépeket, akkor azt tegyük meg, 
mert az ügynök csak az újraindítást követően 
működik megfelelően. Ha az újraindítás csak 
egy későbbi alkalommal lehetséges (például a 
következő karbantartási ablakban), akkor a 
telepítést követően mindenképpen kapcsol 
jiikevisszatattáztala  TAZ új rameditás mütáme a 
megfelelő tűzfalszabályok már életbe lépnek, 
és nem akadályozzák a DPMt-szerver és az 


-ügynök közötti kommunikációt. 


A mentések kezelése 

Továbblépve a Protection szekcióra, beállít 
hatjuk a tényleges mentéseinket. A beállítás 
előtt feltétlenül végezzünk gondos tervező- 
munkát! Mentendő adatainkat csoportosít 
suk forrásuk (például fájlkiszolgálók, SOL- 
adatbázisok stb.) és/vagy fontosságuk szerint! 
Így összeállíthatunk egy mentési tervet, ami 
tartalmazza sehogy "milyen típúsúl adatokat, 
milyen gyakorisággal és milyen stratégiával 


mentünk, mennyi ideig tartunk bizonyos 








SOL-szerveren elhelyezni 
a DPM-adatbázist. 
A felügyeleti felület is 


B (]) Camputer: WGY-MSX.viridian kor al 


egyszerű és áttekinthető, 


E [] Computer: WSY-MSX.viridian local 


nem csábít senkit arra, Szász sösádkzű 
hogy órákat töltsön el a 
különféle lehetőségek fel 
fedezésével. (Különben is: 


Server Fe Data PG 


ideje megszoknunk, hogy 





563 Protection Group: Exchange Data PG (Total members: 2) 


s(B]JÓ Protection Group: Server File Data PG (Total members: 2) 
E (] Lomputer: WSV-LURE-DU viridian Jocal 


A(B]8 Protection Group: SOL Server PG; (Total members: (1) 










Creale protertian group... 
Modffy protection group. 
SZ00 protocton 0É group... 


Specfy tape catalog rete. ,, 


Optimize portormanko... 






There are no ölerts which are assodisted with thés protection group 


szükségünk van egy erre a célra fenntartott ! a felfedezhető dolgok EGE TEESÉ 

kiszolgálóra. A jelentős és folyamatos terhe- ! mostanság a Management Eröstzet tási KÉS letet rzedésntetekáttezénáteeá 
lés miatt nem célszerű a DPM-et futtató gé- I Shellprogramokban talál 

pünket más célokra is használni. A minimá- ]! hatók, így van ez a DPM 0 Ieseejjee  [esomansárosrönr e] 


lis hardverkövetelmények - a merevlemezek 
kivételével - a System Center-családban már 
megszokottak: legalább 1 gigahertz órajelű, 
P4 osztályú processzor, 2 gigabájt memória és 
Windows Server 2003 R2 SP2. 
Merevlemezből viszont sok kell. Sőt, na- 


gyon sok. Ökölszabályként azt mondhatjuk, 
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esetén is.) A konfigurálást 
a Management szekcióban 
kell elkezdenünk. Itt a Disks szekcióban ad- 
hatjuk át a Data Protection Managernek azo- 
kat a merevlemezeket, amelyeken a rövid tá- 
vú mentési stratégiánk részeként szeretnénk 


tárolni az adatainkat. Ezután a Libraries 


3. ábra. Csak a lényeg a konzolon 


adatokat lemezeken, és mikor tesszük át sza- 
lagra. A kialakult tervet a vállalatunknál ér- 
vényes rend szerint érdemes egyeztetni az üz- 
leti oldal képviselőivel, a minőségbiztosítási 
felelősökkel és mindazokkal, akik érintettek 


a / 





gyors lemezekről és sűrűbben végzett men- 
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(B) File Action View Window Help (812 


e sl6almié ral fi 


tésből visszaállítani az adatokat. A Synchro- 








nization freguency határozza meg, hogy mi- 
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ran készítsen teljes mentést). Az eddigi lépé- 


4. ábra. A DPM birtokba vette a lemezeket 


sek alapvetően meghatározzák a mentésekhez 


szükséges lemezterületet, amiről a varázsló 








ív Create New Protection Group .XI következő lépésében kapunk összesítést. 
Specify Short-Term Goals Az utolsó lépés a kezdeti mentés időzítése. 
ÉP DPM will create a protection plan using vour short-term recovery goals. PA 
[tt azt kell szem előtt tartanunk, hogy ebben 
Steps: 


a fázisban a teljes védendő adatmennyiség 
tükröződik a hálózaton a DPMt-kiszolgálóra, 


sag — Specify your short-term recovery goals for disk-based protection. 


E] de 


(s Every 


4 Welcome 
2 Retention range: 
e Select group members 


ÉGES TES EBt és a pillanatfelvételek megindításának előfel- 





4 Select data protection 


method 


Ps á ZET tétele, hogy ez a mentés sikeresen végbemen- 


a Select short-term goals 


HUN I jen. Tehát hagyjunk rá megfelelő időt, és idő- 
Review disk. allocation Fi 8 k ] E 8 ] ] 
CT File recovery points st ál ze ; ; 7 

; ; zítsuk olyan Idopontra, amikor mas szolgalta- 

9 Choose replica creation Specify recovery points for file members. b 5 ú 8 





method ; FTENESET SZ A 2 
§ TE NÉAS tások működését nem akadályozza! 
46 Surnmary ecovery points for files: 3:00, 12:00, 18:00 E veryday A 
1 Modify I 

9 Stat ——— 

ii 8 További lehetőségek 

je B : ovábbi lenetősege 
FT ápplication recovery points 


For applications the recovery point is as per synchronization Íreguency when they support incremental, otherwise the 


on: A létrehozott csoporton még finomhangolást 
recovery point is as per express full backup. 


Recovery points: BSZ GÁ érsz fülrzekédble KÖD E véryélási végezhetünk (soha ne tegyük ezt például kez- 


deti szinkronizálás közben, mert megszakítja 


Express Full Backup: 20:00 E veryday ha 


xl 8 Modity... ] 


a folyamatot!). Engedélyezhetjük a hálózati 





tömörítést (onwire compression), amellyel 











processzorteljesítményért cserébe hálózati 





5. ábra. Az időzítés eldöntheti a lemezfelhasználást is 


lehetnek az adatmentés sikerességében. Egy 
jól kitalált mentési rendre aztán akár garan- 
tált SLA-t is vállalhatunk. 

Amikor tehát tudjuk, hogy milyen adatok 
fognak egy mentési csoportba tartozni, ak- 
kor nekiláthatunk a Protection Groupok lét 
rehozásának. A néhány lépéses varázslónak 
mindössze három érdemi pontja van: mit, 
hogyan és milyen gyakran akarunk menteni. 
Tartalmi szempontból menthetünk megosz- 
tásokat vagy logikai köteteket, Exchange- és 
SOL-adatbázisokat, System State-et, Share- 


pointfarmokat és virtuális gépeket. Ezeket a 


va 


szokott módon a folderstruktúra böngészé- 
sével és jelölőnégyzetek kipipálásával választ 
hatjuk ki. (Iermészetesen van mód bizonyos 
fájlok vagy akár egész mappák kizárására is.) 

A második pontban adjuk meg a csoport 
nevét és azt, hogy lemezre vagy szalagra sze- 
retnénk végezni a mentést. A harmadik lépés 
talán a legbonyolultabb, a , mikor" kérdése. 
Itt nemcsak előre, hanem visszafelé is kell 
gondolkodnunk. A Retention range para- 
méter ugyanis azt mondja meg, hogy a DPM 
mennyi időre lásson vissza az időben, tehát 


mennyi időre visszamenően leszünk képesek 


sávszélességet nyerhetünk. Időzíthetünk napi 
konzisztencia-ellenőrzést, ami főként akkor 
lehet hasznos, ha heti vagy kétheti teljes men- 
tést állítottunk be. Ez az ellenőrzés garantál 
ja az adatok integritását a következő teljes 
szinkronizálásig. 

A Data Protection Manager egyik jelen- 
tős előnye, hogy támogatja távoli kiszolgálók 
mentését is. Minden telepített ügynökre be- 
állíthatjuk a hálózati sávszélesség felhaszná- 
lását munkaidőre és egyéb időszakokra, ezzel 
garantálva, hogy munkaidőben az üzleti al 
kalmazások megfelelő sávszélességhez jussa- 
nak, míg éjszakai és hétvégi időszakokban a 


mentéseké lehet az elsőbbség. 
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A teljes védelem érdekében már ,csak" 
a szalagos mentéseket kell konfigurálnunk, 
ezeket viszont akár hétköznapra és munka- 
időre is tehetjük, tehát van alkalmunk ellen- 


őrizni őket és beavatkozni, ha szükséges. 


Az adatok helyreállítása 

A helyreállítások legalább annyira egysze- 
rűek, mint a mentések: kikeressük a vissza- 
töltendő foldert vagy fájlt, kiválasztjuk azt 
az időpontot, amelyik állapotot szeretnénk 
visszaállítani (ez lehet egy akár 15 perccel 
ezelőtti időpont is!), majd megadjuk, hogy 
az eredeti helyére vagy valamilyen alternatív 
helyre szeretnénk a visszatöltést, és már me- 
het is. Sőt, az általános beállításokon keresz- 
tül engedélyezhetjük a felhasználók számára 
is a visszatöltést. Mielőtt teljesen kétségbe es- 
nénk a lehetőség hallatán: a felhasználók az 
XP-ből és a Vistából ismert , Előző verziók" 
funkció használatával végezhetik a visszatöl 
tést, a kiszolgáló közelébe továbbra sem en- 
gedjük őket. Egyszerűen a DPM-ügynök fog 
közvetítőként működni, és az fogja felajánla- 
ni a DPM-kiszolgálón megtalálható mentése- 
ket a felhasználó számára. 

Ha a visszaállításhoz csak részleges infor- 
mációink vannak, akkor a keresés funkció 
is rendelkezésünkre áll, így pontatlan elérési 
utak vagy fájlnevek esetén is van esélyünk 
megtalálni az igényelt adatokat. 

Az alkalmazások visszatöltése már valami- 
vel bonyolultabb, hiszen Exchange esetében 
például beszélhetünk teljes Storage Group, 
adatbázis vagy postafiók visszatöltéséről. Az 
első két esetben dolgozhatunk közvetlenül az 
eredeti helyre, a visszatöltés végeztével az adat 


bázisok automatikusan elindulnak, sőt ha a 


Hasznos olvasni- és néznivalók 


a DPM 2007-ről.: 





A Data Protection Manager 2007 honlapja: 
http://www.microsoft.com/systemcenter/dom/ 
default.mspx 

DPM 2007 technikai referencia a TechCenteren: 
http://technet.microsoft.com/en-us / library 
bb/95539.aspx 

DPM 2007-tel kapcsolatos webcastok (angol 
nyelven): 
http://www.microsoft.com/events/series /tech- 
netmms.ospx?tab-webcosts8id-42955442955 
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apecitv the network. bandwadth usage throltle settina for the selected protected computer. 
This settna applies for both protection and recovery. 


Enzure that 105 Facket Scheduler iz installed im the local area connection properties al 
both protected and FM server. The 105 Facket Scheduler Is mot autornaticaliy installed 
vath aéndowz Server 2003. For details. refer ta Help. 
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fv Tuezdan 
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6. ábra. A hálózathasználat finomhangolása 


tranzakciós logjaink nem sérültek meg, akkor 
adatvesztés sem lesz. Ha csak egy postafiókot 
kell visszaállítanunk, akkor nem kerülhetjük 
el a Recovery Storage Group használatát az 
Exchange-ben, cserébe viszont a DPM rugal 
masan együttműködik az Exchange TIoolbox 
eszközeivel, ezzel is egyszerűsítve a folyamatot. 

SOL-adatbázisoknál is van lehetőségünk 
az eredeti helyre vagy alternatív mappába tör- 
ténő helyreállításra, sőt ha hordoznunk kell 
az adatokat, akkor akár szalagra is történhet 
a visszatöltés. A tranzakciós rendszernek kö- 
szönhetően itt is lehetséges a veszteségmen- 


tes visszaállítás. 


Integráció a Microsoft felügyeleti 
eszközeivel 

Érdemes még megemlíteni, hogy a Data 
Protection Manager az ügynök telepítésekor 
automatikusan felismeri a fürtözött kiszolgá- 
lókat, és minden tagra telepíti a szükséges 
ügynököt. Hiba esetén az adatok mentését 
automatikusan a másik node ügynöke foly- 
tatja. Exchange 2007 esetében az ügynökök 
felismerik a Cluster Continuous Replication 
konfigurációt, és a passzív node-ot használva 


végzik a mentést, de nem jönnek zavarba az 


egyéb magas rendelkezésre állású konfigurá- 
cióktól (LCR, SCR) sem. 

A DPM Management Shellben minden 
funkciót megtalálunk, amit a grafikus felü- 
leten, és vannak olyan különleges lehetősé- 
gek is, amelyekre csak itt találunk megoldást. 
Ha a mentéseket erre a célra elkülönített 
alhálózaton szeretnénk elvégezni, akkor a 
Management Shellen keresztül ezt is konfi- 
gurálhatjuk, tehermentesítve a felhasználói 
hálózatot. 

A mentési rendszer felügyeletét több szálon 
végezhetjük: a felügyeleti konzol Monitoring 
szekciójában láthatjuk az aktuális feladatokat 
és azok állapotát. A Reporting szekcióban 6 
előre definiált jelentést kérhetünk le vagy idő- 
zíthetünk. A jelentések készülhetnek HTML, 
Excel vagy PDF formátumban, és akár mellék- 
letként is elküldhetjük őket a mentéssel foglal 
kozó kollégának vagy csoportnak. A System 
Center Operations Manager (vagy System 
Center Essentials) használói pedig a megfelelő 
felügyeleti csomag telepítésével integrálhatják 
a DPM teljes felügyeletét meglévő rendszerük: 
be, így mindent egy helyről érhetnek el. 

Somogyi Csaba 

(csaba.somogyi(Omicrosoft.com) Microsoft Magyarország 
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ÁZ EZERARCÚ 
PUBLIKÁLÁS 
— II. RÉSZ 


Az előző részben megvizsgáltuk általában 





a publikálás témakörét, a kapcsolódó 
togalmakat és az alapgyakorlatokat, 
most viszont egy kissé mélyebbre merülünk 
a témában. 


tt folytatjuk, ahol abbahagytuk: kezdésként további, a webszerver-publikálással kap- 
csolatos fontos, illetve érdekes beállításokat nézünk meg, aztán viszont ráhangoló- 


dunk az Exchange:, valamint az ISA-kiszolgálók együttműködésére. 


Bridging 
Az érdekesebbeket kiemelve a Bridging fül lesz az első, ahol a web-, illetve egyúttal az FI P-szer- 
ver portátirányítási lehetőségei találhatók. Itt akkor fogunk sűrűn járni, ha történetesen az 
ISA-kiszolgálón helyeztük el a webszervert is - ami nem a legbiztonságosabb forgatókönyv, de 
például egyetlen szerver esetén nincs túl sok választási lehetőség. 

Ebben az esetben te- 


hát a webszerver szeret Pub: OWA Properties 2Íxi 
né magáénak tudni a ha- 





gyományos  http-portot, Bridging ! Users Schedule I Link Translation ! 
Authentication Delegation ] Application Settings 
General [Action ] From ] To] Traffic ] Listener] Public Name ] Paths ] 


de erről a szándékáról az 
ISA villámgyorsan le fog- 
ja beszélni. Működő IIS 
esetén a várható konflik aj [ Name: 
tusra már a telepítő is fi 
gyelmeztet, mert az ISA- Ismétlés gyanánt: a különböző füleken a webszerver-publikálás finomhangolási 
nak kerek-perec, óhatatla- lehetőségei érhetők el 


nul szüksége van a 80-as 

















portra. Teljesen logikus, hogy miért, a külső (de a belső) ügyfeleknek is az ISA kell, hogy le- 
gyen az egyes számú kapcsolat, ezért a 80-as porton az ISA listenerjének (lásd az előző cikket) 


kell figyelnie, hogy aztán már továbbadhassa a kéréséket és válaszokat a webszerver, illetve az 


Ka 


E ze 


ügyfél felé. A megoldás nem a kissé nehéz- 
kes http://www.ceg.hu:8181 formula - azaz 
egy alternatív port használata -, hanem az 
átirányítás. 

Az ügyfél böngészője a 80-as porton kö- 
zelít, az ISA elkapja, és a Bridging fülön be- 
állított tetszőleges portra továbbítja a kérést. 
Ehhez már csak a webszerver megfelelő tu- 
lajdonságainál kell ugyanezt a portot beál 
lítani. Iermészetesen, ha nincs webszerver 
az ISA-szerveren, akkor erre nincs szükség, 
mert ekkor egy másik gép, a belső szerver 
80-as portját használjuk, nem zavarva az ISA 


listenerjét. 


10 


Rövid és velős neve van ennek a fülnek, nem 
is sejtetve, hogy egészen fontos dolgok rejtőz- 
nek mögötte. Itt kötelezően meg kell adnunk 
a publikált webhely nevét, esetleg alatta a bel 


ső nevét vagy IP-címét (ha nem egyező). Ha 





Pub: web publishing Properties ?IxI 

Authentication Delegation ] Application Settings ] 

Bridging — ] — Users Schedule Link Translation ] 

General ] Action ] From To] Traffic] Listener] Public Name ) Paths ] 
Ihis rule applies to this published site: 


[/vw.cegeszervet.hu 


Computer name or IP address (reguired if the internal site name is different or 
not resolvablek 


[ebsrv-01 


[Forward the original host header instead of the actual one (specified in 
the Internal site name field) 


Help about host headers 


Proxy reguests to published site 
Specify how the firewall proxies reguests to the published server: 











(s. Reguests appear to come Írom the ISA Server computer 


C Reguests appear to come from the original client 


Help about reguest forwarding 
OK ] Cancel I Apply 


Három lényeges dolog is helyet kapott ezen a panelen 








SSL-t használunk, ez csak olyan név lehet, 
amely a tanúsítványon is szerepel, más ese- 
tekben viszont elképzelhető hogy az ISA nem 
tudja feloldani az adott nevet, ezért kell a má- 
sodik mező például az IP-címmel. 

A , Forward the original host header in- 
stead of the actual one" opció például az 
OWA publikálásnál hasznos, annyira, hogy 
az Exchange publikálóvarázslója automatiku- 
san be is kattintja. Ennél a pontnál az a kér- 
dés, hogy az ISA továbbítsa-e a külső kliens- 
től kapott host headeriinformációt vagy in- 
kább kicserélje? Alapértelmezésben kicseréli 


a már említett második mező tartalmára, 
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mert ez a biztos megoldás, viszont nem feltét 
lenül jó nekünk. Ha egy IP-vel több webhe- 
lyet akarunk publikálni - a webszerver host 
header opciójára építve ezt a tervet -, akkor 


így szép nagy 404-es válasz lesz az eredmény. 


Ekkor tehát kapcsoljuk 


günk arra, hogy az ISA legyen az alapértelme- 
zett átjáró (azaz valamilyen okból nem lehet 
SNAT-kliens a belső webszerver), hiszen ek 
kor a webszerver és az ISA közötti kapcsolat 


enélkül is töretlen lesz. 





be ezt a lehetőséget. 
A következő 
(Proxy reguests to pub- 


opció Select Services 


New Mail Server Publishing Rule Wizard XI 





select the services that vou are publishing on this mail server. 


BE 





lished site) viszont a szimp- 


CEnds Client Access: 
la webszerverek esetén is 
ett 30 ab I Outlook (RPC) : 
él és számít. Az alapfel fzzist teat 
állás szerint a belső web- [M PoP3 
3 kedbéte (standard port) 
szerver minden kívülről 
I IMáP4 
érkező kérés esetén csak (standard port) 
mi FAS; [MM SMIP 
a közvetítő felet, az ISA-t RAAB] 


látja (mivel a fejlécben az 
ISA kicseréli a forrás-IP-t), 
azaz óva korlat (ASsésaksaz 


ISA belső hálózati kártyá- 





[I POP3 
(secure port) 


[ " IMAP4 
(secure port) 


[4 SMTP 
(secure port) 





2 Back Cancel J 





jának IP-címével szembe- 
sül. Ez egyszerűvé teszi a 
webszerver válaszát, hi szabad használni) 


szen a cím ismerős alhá- 


A klasszikus protokollok kiválasztása (az Outlook RPC is az, de VPN nélkül nem 





lózaton van, benne van a 
t ést 3 select Services 
routing-táblában, közvet 


lenül elérhető, összesen 


Select the services that you are publishing on this mail server. 





New Exchange Publishing Rule Wizard 





annyi dolga van, hogy egy 
ARP-kérést küld, és ha 


megjön a válasz, mehet 


Exchange version: 


a forgalom. Ha viszont 
aztaóráanáis Háthatóalsó 
opciót választjuk, akkor 
annyi a különbség, hogy 
a webszerver egy idegen 
IP-vel találkozik, amely- 
ről nem lesz információ 
a routing-táblában, ezért 
az ARP-kérést az alapér- 


telmezett átjárónak küldi 





el, így oldva meg a prob- 


web client mail services: 
[ Outlook web Access 
[M Outlook RPCIHTTP(s) 


JE PutlisA additionalifölders on the Exchange Server for. Goutlagk 20071 cllents 


I Outlook Mobile öccess 
I Exchange üctivesync 


Exchange Server 2003 
Exchange Server 2007 


Exchande Server 2003 





Exchange Server 2000 
Exchande Server 5.5 


2 Back Cancel 








lémát. Mivel általában az 
ISA belső ,lába" az alap- 


értelmezett átjáró (ebben 


Access) 


az esetben muszáj is, hogy az legyen), megjön 
a válasz, és indul a forgalom. Ha valaki ezt 
már harmadszor is elolvasta, biztosan azt fog- 
ja kérdezni, hogy minek bonyolítani a dolgot 
az alsó opcióval? Van értelme, ha más nem, 
az, hogy az IIS-naplóba nem egyetlen IP-cím 
kerül be (az ISA belső lába), és vezeti majd a 
naplóból képzett statisztikát toronymagasan, 
hanem a valódi kliensek címei. Az első opció 


viszont akkor kötelező, ha nincs lehetősé- 
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Ami szem-szájnak ingere, az itt mind megvan (Publish Exchange Web Clients 


Ezzel az szimpla és/vagy SSLxwvebhelyek 
publikálásának részletein túl vagyunk, a kö- 
vetkezőkben nézzük meg a további - és akár 
speciálisnak is tekinthető - publikálási lehe- 
tőségeket. 


Az Exchange Server publikálása 
Ez a témakör hatalmas. Elsősorban azért, 
mert rengetegféle forgatókönyvben használ 


hatjuk kívülről is az Exchange-szerver szol- 


CIN AE 


gáltatásait, másrészt azért, mert az ősidők óta 
nagyon szoros kapcsolat van e két nagy ki- 
szolgálókomponens között. Ha a publikálást 
tekintjük (egyelőre elsősorban az Exchange 
2003 és az ISA 2006 párosára fókuszálva), 
akkor nagyjából két eltérő területre oszthat 
juk fel az együttműködést (persze nem egyen- 
lő részben): 
a klasszikus e-mail-orotokollok  (POP3, 
SMIP, IMAP); 
a webes kliensek (OWA, OMA, ActiveSync, 
Secure RPC, RPC over HTIPS). 


Klasszikus e-mail-protokollok 
publikálása 

Ez a legegyszerűbb forgatókönyv, a legkeve- 
sebb komtforttal és innovációval - de a leg- 
kevesebb munkával is. Vegyünk egy szolid, 
egyszerű környezetet alapul, egyelőre DMZ 
és minden más extra nélkül, az egyetlen 
Exchange-szerverünk a belső hálózatban 
SNAT-kliensként tengeti hétköznapjait, és 
az egyéb működési feltételeket (például az A, 
MX, PTR, esetleg az SPF rekordot) már meg- 
teremtettük. Ezek után az ISA MMC-ben a 
tűzfalszabályokra kattintva a jobb oldali ke- 
retből a Publish Mail Servers varázslót kell 
elindítanunk, majd ezután jöhet a megfelelő 
protokollok kiválasztása (két körben, mert 
az SMIP és az NNIP külön van választva), 
aztán az Exchange-kiszolgáló megnevezése, 
végül annak a hálózatnak a kijelölése, ahol a 
szabály dolgozni fog, és gyakorlatilag készen 
is vagyunk. 

Az ISA automatikusan elkészíti a szüksé- 
ges tűzfalszabályokat - pont annyit, ameny- 
nyi protokollt kijelöltünk -, és működik. Ha 
lehetséges, ne kapcsoljuk ki a passzoló alkal 
mazásfiltereket (POP3, SMTP, lásd e szám 
másik ISA-cikkét), de más okossággal nem 
nagyon szolgálhatunk, mert nincs is, ez ilyen 


egyszerű. 


Webes kliensek 


Itt már webszerverpublikálásról van szó, és 
nem is akármilyenről. A kliensek típusa alap- 
ján újabb három csoportra oszthatjuk tovább 
a publikálószabályokat. Szó eshet egyrészt a 
PDA-k, Smartphone-ok és egyéb kütyük cso- 
Dortjáta vonatkozó! szabályokról "másrészt az 
Outlook Web Accesst érintő publikálásról. 
A harmadik körben az asztali Outlookot 
érintő lehetőségekről kell beszélnünk, azaz a 


már szerencsére kissé háttérbe szorult Secure 


Ki 
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RPC-ről, illetve a maximálisan ajánlott RPC 
over HI IP/S-ről. Az ISA 2006-tal gyakorla- 
tilag egyetlen publikálószabállyal és egyetlen 
listenerrel tökéletesen lefedhetjük az első há- 


rom hozzáférést. A listenerben ilyenkor rá- 


Az RPC over HTIPSVS esetén viszont ez a 
fajta klienshitelesítési metódus csak részben 
lesz tökéletes, mivel az űrlap egy Outlook ese- 
tén értelmezhetetlen, viszont ha mégis ezt az 
utat választjuk, akkor az ISA 2006 automa- 


tikusan vált a Basichitele- 





General ] Networks]  Connections ] 
öuthentication Forms 
Form Customization 





[7 Use customized HTML forms instead of the default 


members): 


Display the HTML form in this language: 


Password Management 
[4 állow users to change their passwords 


[V Remind users that their password will expire in this 
number of days: 


Help about form preferences 





Az őrlap alapú hitelesítésnél lehetséges a jelszóváltoztatás, illetve az erre 
vonatkozó figyelmeztetés engedélyezése 


adásul megtehetjük, hogy az űrlap alapú hite- 
lesítést választjuk. 

Az űrlap alapú hitelesítés egy nagyon sok- 
rétű, sok extrát felvonultató módszer, amely- 
lyel kapcsolatban ráadásul az ISA 2006-ban 
számos pozitív változás is történt. 

Használhatjuk immár multifaktoros hite- 
lesítésre, kontrollálhatjuk a csatolások hasz- 
nálatát, felajánlhatunk a felhasználóknak 
kétféle megjelenítést, alkalmazható az SSO, 
és beépíthető egy biztonságos jelszóváltozta- 
tási lehetőség. A mobilklienseknél különösen 
jól jöhet, hogy teljesen testre szabhatjuk a fe- 
lületet, és ezt teljesen automatikusan a fejléc 
tartalmától függően kaphatják meg a kijelző- 
re. Kierőszakolhatunk a böngésző beállításai- 
tól független nyelvi támogatást (25-féle nyelv- 
ből választva), a cookie-kkal kapcsolatban is 
kapunk jó pár lehetőséget, és ha bevállaljuk, 
akár gyorsítótárazhatjuk is a jelszavakat. 

Az űrlap alapú hitelesítés tehát bátran 
ajánlható, a további részletekért pedig tekint 
sük meg egy előző IechNet Magazin cikkét: 
hetp/tinyurécom z1ANyj 


32 


External IP FBA Properties Egá ei 









Type the custom HTHL form set directory (must exist on all array 


[match user browser settings ya ] 







15 s 








sítésre, ami már megoldás- 


j nak számít. 
Certificates ] 
550 ! 4 , , 
Előrelépés 


Egyébként kicsit előresza- 
ladtunk, mivel a varázsló- 
ban először még a webszer- 
ver típusát kell megadnunk 
(egyszerű webszerver, load 
balancer vagy farm), majd 
pedig el kell döntenünk, 
hogy használunk-re köte- 
lezően titkosítást (SSL) a 
webszerver elérésére, ami 
nyilván erősen megfonto- 
landó minden Exchange- 
elérés esetén. Az SSL alkal 
mazására az ISA és a belső 
webszerver között kétfajta, 
manuális választható mód- 
szerünk volt az ISA 2004- 
ben (tunneling és bridging, 
azaz szimpla továbbítás el 
lenőrzés nélkül, illetve a 
, szűréses" módszer), és nem maradt egy sem 
az ISA 2006-ban, de ez kivételesen előrelé- 


pésnek számít. Tudniillik ennek az opciónak 


mlol x 


a beállítása automatikussá vált, és minden 
esetben - tehát az OWA-val is - működik a 
szűrés, ha kérjük a tikosítást lés igazán szép 
a dologban, hogy az ISA 2006 4 Exchange 
2003 SP2 esetén ez az ActiveSynckel is mű- 
ködik, tanúsítvány alapú hitelesítéssel). 

Az SSL-szűrés megértéséhez tudnunk kell, 
hogy e magazin másik ISA-cikkében említett, 
remekül használható http-ilter a HITPS- 
forgalomban teljesen hatástalan. Persze ez 
érthető is, a HI TPS-nek többek között pon- 
tosan az érinthetetlenség a lényege. Ellenben 
az ISA Server segítségével mégiscsak sikerül 
bevonni ezt a forgalmat a http-filter hatókö- 


rébe, némi trükkel. 


Ellenőrzött csomagok 

A lényeg az, hogy a távoli ügyféltől beérkező 
forgalomból az ISA terminálja az SSL-kap- 
csolatot, és ,visszafejti" a titkosítást. Ezután 
a nttp-tilter Sátszalad "az adott csomagon 
azaz részletesen ellenőrzi. Ha kész, akkor két 
módszer marad: vagy továbbítja a belső web- 
szervernek a normál http-csomagokat, vagy 
először "újra : hozzáragasztja ar tanúsítványt 
(ez a publikálószabály porttovábbítási beállí- 
tásain múlik). 

Ha a webszerver feldolgozza a kérést, visz- 
szaküldi az ISA-nak, amely újra ellenőrzi a 
csomagot, és ha szükséges, megint csak visz- 
szafejti, és újra titkosítja. Ha minden rend- 
ben van most is, akkor mehet a csomag a tá- 
voli kliens felé (természetesen anélkül, hogy 


a távoli kliens ebből bármit 





New Exchange Publishing Rule Wizard 
Server Connection Security 


server or server farm. 





Choose the type of connections ISA Server will establish with the published web zt] 


xi  észlelne). 
Nos, ezek után térjünk 


vissza a , Publish Exchange 





aNNEKKNENKNNENKKKNKKKKNNKKEENKEKKKKKKKKAEKEKE KEK EKK ENEK KKN EKE KEENKKENKE NOKNEK KENE K KNK KKKNEKEKK KEEN EKKES BBB 


(e He SSL to connect to the published Web server or server; 
arm j 


lesssssszsszsstsskszsszskskkkkszs zs kKKEzE KE EKEKEK EKE KEKEEE EE KEKKKENE KKK KKK KKE KEKE esssszzszssssésse 


ISA Server will connect to the published Web server or 
server farm using HTTPS (recommended), 


€ Use non-secured connections to connect the published 
web server or server farm 


ISA Server will connect to the published Web server or 
server farm using HTTP, 


Help about server connection security 





Az ISA 2006-ban válasszuk az SSL-t, és megkapjuk vele automatikusan 


a legjobb módszert 


—— . 


tép is 





Web Clients Access" va- 
rázslóra, de már csak azért, 
hitps:/7 hogy megállapítsuk: innen- 
től nincs új opció, minden 


a normál (az előző részben 


a Tea ismertetett) webszerver- 
hitp:77 Elst ; 
I publikáláshoz hasonlóan 
megy végbe. 


Egy következő  szám- 


ő when publishing over SSL, an appropriately named S5L server certificate must be 
3 installed on the published server, or on each server in the server farm. 


ban még visszatérünk a 

Sharepoint Portal Server, 

illetve az egyéb, nem web- 

szerverpublikálás módsze- 
reinek ismertetésével. 

Gál Iamás 

(v-tagal(0D microsoft.com) 

Microsoft Magyarország 


Microsoft TechNet 
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Az ISA SERVER 


CNN NR 





ARCHITEKTURÁJÁNAK 


RÉSZEI 





Az ISA Server kicsit , sötét ló": bonyolult és talán nehéz is mélyebben 


megismerni, ráadásul speciálisan érzékeny és veszélyes az 


a terület, ahol alkalmazzuk. De ki ne szeretne benézni egy kicsit 


a motorháztető aláz 


fentiek miatt e cikk keretein belül megpróbáljuk kicsit megvilágítani az ISA Server 
2004/2006 két, a legfontosabbak közé tartozó szerkezeti alapelemét, a hálózatokat, il 


letve a különböző szűrési módszereket. 


A hálózatok 


Az ISA Server 2004 egyik legnagyobb és legfontosabb változása az úgynevezett multi-network- 
ing bevezetése volt (nem-nem, nincs köze a piramisjátékhoz). Ez azt jelenti, hogy akármennyi 
(logikai) hálózatot létrehozhatunk, és azt is, hogy nincsenek előre beállított, megkülönbözte- 
tett hálózatok. Igazi, jólfésült demokrácia van, minden hálózat egyenlő, egészen addig, amíg 


el nem kezdjük mi magunk 





a megkülönböztetést. Aki 


/ Networks Network Sets KNetwork Rules K web chaining Y sets X Network Rules Y web Chaining 





Jé E 1 ha 3 Name - Description Address Han 
attintg atott valaha mar (B Exteral Built-in network object representing t... IP addresses external to the IS4 Server networks. 
egy ISA MMC-ben, azmost  [/ eEtemdz ..7188888888 J 


I E egett I 9 ő éli 8 B 4 ad Internal Network representing the internal net... 529 10.0.0.0 - 10.0.0.255:10.0.1.1 - 10.0.1.255 
valoszíhu és mar In ítja 15 224 Internal327568 a 192.168.0.50 - 192.168.0.75 


NolIP addresses are associated with this network. 


(29 10.0.2.1 - 10.0.2.255 


z44- Local Host Built-in network object representing t... 


az Outlookot, hogy rekla- 
ak Masiklnternal 


máló e-mailt írjon nekem 


z- DUuarantined VPN Clients Built-in dynamic network representin... 


3 VPN Ülients 


NolP addresses are currently assigned to this network. 


e cikk Ötö dik SOT áb an sze- Bullt-in dynamic network object repre... 1 NolP addresses are currently assigned to this network. 








replő tévedésről, úgyhogy 





kej 


pontosítsunk: vannak elő- 1]. ábra. A hálózatok létrehozásánál a határ a csillagos ég 
redefiniált hálózatok (leb 
tár szerint 5 darab), de például a gyári Internal (belső) hálózat - ha akarjuk - a függőség, a 
kapcsolatok vagy a működés alapján semmivel sem lesz alá- vagy fölérendeltebb, mint az álta- 
lunk felvett MasiklInternal hálózat, vagy az Internal3, vagy ha imádjuk a kettes számrendszert: 
az Internal32768. 

A fenti képen nemcsak az extra nevű új hálózatok, hanem a gyáriak is szépen látszanak, az 
az öt darab, amelyet már említettünk. Ábécésorrendben ezek a következők: 


External. Az alapértelmezett külső hálózat, amely talán a legkevésbé kézzelfogható a há- 
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lózatok között, és amely például - az összes 
többi hálózattal szemben - nem tagja az All 
Protected Networks csoportosításnak sem, 
valamint nincs és nem is lehet IP-tartomá- 
nya. Gyakorlatilag az a hálózat tekinthető a 
legtöbb esetben az internetnek. Érdekes vi 
szont belegondolni abba, hogy egy szingli, 
egy hálózati kártyás forgatókönyvben mi az 
ISA viszonya ehhez a hálózathoz (ne gondol 
kodjunk sokat, ilyenkor nem lesz semmilyen 
szerepe, egyetlen Internal hálózatnak muszáj 
lennie, úgyhogy az lesz az erősebb). 

Internal. , A" belső hálózat, és bár a tele- 
pítés során ki kell jelölnünk a részére egy IP- 
tartományt (ami persze szabadon változtatha- 
tó), az eddigiek értelmében más különleges 
tulajdonsága nincs. 

Local Host. Ez viszont, akárhogyan is 
nézzük, extra dolog, mivel egy olyan háló- 
zat, amelynek összesen egy tagja van, maga 
az ISA-kiszolgáló. Nem lehet bővíteni, nincs 
IP-tartománymegadási lehetőség (nincs is ér- 
telme, az összes IP, amit az ISA birtokol, bele- 
kerül automatikusan). Remek ötlet volt még 
az ISA 2004-ben ennek a megoldásnak a be- 
vezetése, hiszen így sokkal egyszerűbbé vált 


az ISA-szervergép használata. Ha bármilyen 


Ke 
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engedélyező vagy éppen tiltó tűzfalszabály- 
ban szükség van rá, vagy ha csak az ISA-port, 
illetve -porotokoll hozzáférésének a biztosítá- 
sát nézzük, már akkor is megérte. 

VPN Clients. Egészen egyértelmű már a 
név alapján is, hogy mit takar, de mielőtt egy 
legyintéssel elfogadjuk azt, hogy - szintén az 
ISA 2004 óta - van ilyen lehetőségünk, gon- 
doljunk bele, mennyire kényelmes dolog ez. 
Semmit sem kell konfigurálnunk, mégis egy 
helyen lesz az összes VPN-kliens, azaz akár 
egyetlen tűzfalszabállyal képesek leszünk pélb 
dául a protokollok vagy bizonyos webhelyek 
apropóján korlátozni az összes VPN-ező kolt 
légát! 

Ouarantined VPN Clients. Ha a belső, 
védett hálózatainkat egy meleg, tágas és ké- 
nyelmes lakásnak képzeljük el, akkor ez a há- 
lózat a hűvös, szeles udvarajtó, ahol a cukor 
spárga-kerítés mögött a harci kutyák ugrásra 
készen állnak. Ebben a hálózatban hosszasan 
várakozni vagy innen (nem önszántunkból 
ám!) visszafordulni nem kellemes dolog, de 
bárkivel előfordulhat. A magyarázat: az ISA 
részeként működő speciális VPN-karantén- 
szolgáltatás megakadályozhatja a VPN-klien- 
seket a védett (belső) hálózatok elérésében. 
Ha működik a karantén, akkor egészen ad- 
dig, amíg egyértelműen ki nem derül egy 
VPN-kliensről, hogy megfelel az elvárásaink- 
nak (például be van-e kapcsolva a tűzfal, fute 
A VILUISIT LÓ SKÓ Jade tt várakozik 

Az önfeledt és kényelmes ISA-kezelés miatt 
a hálózatokat akár csoportosíthatjuk is, majd 
a csoportokat megtekinthetjük a Network 
Sets fül alatt (az első képen a második fül). 
Ahogy már szó volt róla, a telepítés során lét 
rejön egy All Protected Networks csoport, 
amelynek az ötből négy gyári hálózat tagja, 
de van egy másik is, az All Networks (and 
Local Host) nevezetű, értelemszerű tagsággal. 
Persze, magunk is hozhatunk létre tetszőleges 
számban csoportokat, e cikk szerzője a mai 
napig is szimpatizál egy Internal Network 
Set néven illetett csoporttal, amelybe a sima 
VPN mellett a Local Host és az Internal há- 
lózat szokott belekerülni. Ezek után például a 
tűzfalszabályokba lényegesen egyszerűbb lesz 
majd belefoglalni az adott hálózatokat. 

Nos, a fenti felsorolás után logikus lehet 
a kérdés: miért akarnánk további, új háló- 
zatokat létrehozni? Több ok is felmerülhet, 
például mert valóban létezik plusz egy vagy 
akár több fizikai hálózatunk, vagy mert a bel 


ke 


ső (fizikai) hálózatunk egyes részeit el szeret 
nénk választani egymástól, vagy mert néhány 
paramétert máshogyan akarunk beállítani az 
adott nálózat túláldonsásgatnals vágy rakátaz 
is előfordulhat, hogy több External (külső) 


hálózatot szeretnénk generálni stb. 


E ze 


kell majd ,kötnünk" az ISA-ban, azaz meg 
kell határoznunk a kapcsolatukat (első ábra, 
harmadik fül, Network Rules). Bármilyen 
két hálózat között összesen kétfajta kapcsolat 
lehetséges az ISA-n keresztül, az egyik a csont 


nélküli routolás, a másik a sorozatos hazugsá- 





Internet Access MAT 


d Hz 





Source Metworks 


d Local Host 


za Ouarantined VEN €Clients -4- Internal 
4 WEN Clients 


zi Internal 
z4- Öunarantimed VPN €lients 
724 VPN Clients 


Destinatiori Metwa. , , 
235. All Networks (an... 


Descrintian 





b External 





2. ábra. A hálózatok közötti kapcsolat kétféle lehet 


A következő logikus kérdés: hogyan lesz- 
nek egyenértékűek ezek az új hálózatok pél 
dául egy meglévő Internal hálózattal? Úgy, 
hogy az összes tulajdonságukat egyformán 
tudjuk konfigurálni. Egy-egy hálózatnak 
ugyanis rengeteg beállítható paramétere van, 
az alábbi képen csupán a gyári Internal há- 


lózat webproxy-opcióit lehet megtekinteni, 


Sok viszonya; u NAT azaz alhálózat címtor 
dítás. Ha benézünk a Network Rules fül alá, 
akkor egyúttal azt is láthatjuk, hogy a gyári 
hálózatokhoz már készen állnak a különböző 
kapcsolatok is. 

A routolás alkalmazására tipikusan ak- 
kor szokott sor kerülni, ha két publikus, 
vagy két privát IP-címmel rendelkező hálóza- 


tot szeretnénk kapcsolatba hoz- 





ig-njr une e mit] 


General I Addresses l Damains ] 
Buta Discowery I Firewall Client 


WW Enable HTTF 


HTTP part: 


] 8080 


S5L 
5 Enable SEL 





aal mürts 








3. ábra. A gyári Internal hálózat beállítási lehetőségei 


de még azokat sem teljesen, mert további 
ínyencségeket találhatunk például az Authen- 
tication gomb mögött is. 

Ha viszont már rendelkezünk pár hálózat 


tal, akkor ezek egy részét valószínűleg össze 


web Erowser 
web Proxy 





I 8443 SELVET IZEFHTGALES, íz 


Configure allowed authentication methods: 


Authentication. . , 


Configure advanced properties: 


Advanced... 





cat [e] 


a] xi ni. Ilyenkor nincs extra szerepe 
] az ISA-kiszolgálónak (ami persze 
nem azt jelenti, hogy nem vizs- 
gálja a forgalmat), gyakorlatilag 
automatikusan kétirányú forga- 
lom jön létre az adott hálózatok 
között. Jó példa erre a belső és 
a VPN-hálózat közötti kapcsolat, 
amelyet a gyári szabályok között 
is észrevehetünk. 

ÉláEviSZont EEEN HDTV E TÉS HEEN 
publikus hálózat összekötését, az- 
az például a belső vagy a VPN-há- 
lózat(ok) internetelérését szeret 
nénk megvalósítani, akkor nyil 
ván nem kerülhető ki a címfor- 
dítás, ami viszont nem szimpla 
kétirányú kapcsolat, és haszná- 
lata során — a címiordítás elvei- 
nek megfelelően - az ISA Server 
mindkét oldalnak kíméletlenül 
hazudja tnajd hogy ő! a rtmaásik ollé 
dal, Erre példának a 2. ábrán látható, a két 
VPN-hálózat plusz az Internal hálózat, illet 
ve az External közötti viszony hozható fel. 

Két igen fontos körülményt még ki kell 


emelni a témakör kapcsán. Elsőként azt, 


Microsoft TechNet 
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hogy ha már létrehoztunk két hálózatot, és 
a kapcsolatuk viszonyát is meghatároztuk (itt 
most mindegy, hogy melyiket), az még abszo- 
lút nem azt jelenti, hogy engedélyeztük is kö- 
zöttük a forgalmat. Amíg legalább egyetlen 
ágrólszakadt tűzfalszabályt nem gyártunk le 
a két hálózat vonatkozásában, addig nem lát 
ják ,egymást", azaz ezzel még mindig csak az 
előszobában vagyunk, szó sincs tévézésről a 
nappaliban. 

Meg kell említeni még az ISA hálózatkeze- 
lésének apropóján, hogy egy ISA-kliens (akár 
egy másik szerver, akár egy kliens) hogyan 
kerül be az adott hálózatba, és hogyan kerül 
ki adott esetben belőle. A válasz pozitív: telje- 
sen automatikusan, nincs szükség semmilyen 
manuális tevékenységre. Egy LAN esetén pél- 
dául az IP-címe számít majd, míg egy VPN 
típusú kapcsolatnál a kapcsolódás metódusa 
AACIOMEÓ 

A hálózatok témakörének zárása alkalmá- 
ból mindenképpen meg kell említenünk még 
egy szintén borzasztóan előnyös körülményt. 
A hálózatok mindegyikében külön-külön sza- 
bályozhatjuk a forgalmat a tűzfalszabályok- 
kal, azaz - egy nagyon egyszerű példával 
illusztrálva - az egyik belső hálózaton meg- 
engedhetjük a felhasználóknak az FTP-pro- 
tokollt, a másikon meg nem, a VPN-háló- 
zatban meg csak 18.00-tól 23.00-ig. Persze, 
közös, tetszőleges számú hálózatra vonatkozó 
szabályokat is gyárthatunk, de igény esetén 
különbségeket is. 


A szűrés 

A tűzfalaknak értelemszerűen a legfontosabb 
feladatuk a hálózati forgalom szűrése, a há- 
lózatok közé beékelődve, minden forgalmat 
megvizsgálva. A megfelelő, engedélyezett for- 
galom átengedéséhez, illetve az összes többi 
explicit blokkolásához különböző működési 
elvű szűrőket használ az ISA Server. Ezek egy 
része automatikus és bedrótozott, más része 
viszont részletesen vagy kevésbé részletesen, 
de azért konfigurálható. 

Még mielőtt elmerülnénk a szűrők műkö- 
désében, kanyarodjunk el a kicsit a fősodor 
tól a TCP/IP-, illetve a hálózati csomagok 
aptopójan: Mint tudjuk, ma a MEP/TP-proto- 
kollkészlet számít a legelterjedtebbnek, inter- 
neten, belső hálózaton és mindenhol máshol 
is ezt használjuk, ergó egy tűzfalgazdának 
tisztában kell lennie a működésével, felépí- 


tésével. Az , elfáradt, be nem fejezett OSL 
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szabvány hét rétegével szemben a TCP/IP-nél 
négy réteget különböztetünk meg, , lentről 
felfelé" ezek a következők: 

1. Fizikai réteg (Network Interface Layer). 
A legmélyebben elhelyezkedő réteg, a TCP/ 
IP-csomagok fizikai hálózatra való , felpako- 
lását" és , leszedését" végzi. Gyakorlatilag vi- 
szont ez az a réteg, amelytől a TCP/IP függet 
len, mivel a különböző műveletek a hálózati 
hardvereszközök között mennek végbe, és 
csak ezek fizikai adatai, címei szükségesek 
hozza. 

2. Hálózati internetréteg (Internet Layer). 
Ebben a rétegben történik a csomagok cím- 
zése, darabolása és összerakása, valamint a 
hálózatok közötti útválasztás is. A nevét az 
itt működő legfontosabb protokollról, az [P- 
ről (Internet Protocol) kapta. Az IP-csomag 
egy fejlécből és egy úgynevezett payloadból 
(a hasznos adatból) áll, a működés szempont 
jából a fejléc a lényeges, mert ez hordozza az 
olyan alapvető információkat, mint a forrás- 
és célcím, valamint például a szállítási proto- 
koll típusa. 

3. Szállítási réteg (Iransport Layer). E 
réteg legfontosabb feladata a cél és a for- 
ras iközöttiülögikattkapcsoláttbiztosításás, az 
adatáramlás lehetőleg pontos bonyolítása. A 
legfontosabb protokollok itt a TCP (Irans- 
mission Control Protocol) és az UDP (User 
Datagram Protocol) A TCP fontos jellem- 
zői a forrás- és célport, a Seguence number, 
ami a csomagok egyedi sorszáma, valamint 


az Acknowledgement Number, amely a foga- 
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dó oldal által küldött nyugta és egyben a kö- 
vetkező, venni kívánt csomag sorszáma. Az 
UDP protokoll a kevésbé sikerorientált kap- 
csolatokhoz passzol (viszont gyors), épp ezért 
csak a forrás-, illetve a célportot használja. 

4. Alkalmazásréteg (Application Layer). 
A , legmagasabban" működő réteg, amely- 
ben az alkalmazások elérik a további rétegek 
szolgáltatásait, és amelyben definiálható a 
felhasznált protokoll (HTIP, FIP, SMIP, 
Telnet stb.). 


A szűrés típusai 

Az ISA három alapvető szűrési módszert is- 

mer, a hagyományos csomagszűrést, a szintén 

általánosan elterjedt úgynevezett stateful szű- 
rést, illetve a nem annyira általános, de reme- 
kül használható alkalmazásszűrést. 

A szimpla csomagszűrés még a , mélyben" 

a ICP/IP alsó (hálózati és a szállítási) rétegei- 

ben képes megvizsgálni - és aztán lágyan en- 

gedélyezni vagy keményen tiltani - az IP-cso- 
magokat. Méghozzá több kritérium, konkré- 
tan a következők alapján: 

un acél; illetve a forráscím; 

a az IPorotokoll/prokollszám: TCP, UDP, 
ICMP, GRE stb; 

a irány: kimenő, bejövő, mindkettő (spéci 
esetekben, azaz például UDP vagy az FIP 
protokoll, esetleg csak fogadás, csak kül 
dés stb.); 

a port: helyi és távoli, fix vagy dinamikus. 
A csomagszűrésnek egyaránt vannak elő- 


nyei és hátrányai, nézzük ezeket tömören: 





Interface Layer 


Protocol: TCP 





KE] 
. Destination Address: 0003FFD329B0 
Source Address: 0003FFFDFFFF 





Physical 
payload 


" Destination: 192.168.1.1 
Source: 192.168.1.10 


IP payload 


" Destination Port: 80 
Source Port: 1159 
Seguence: 3837066872 
Acknowledgment: 2982470625 


TCP 
payload 


" HTTP Reguest Method: Get 
HTTP Protocol Version: -HTTP/1.1 
HTTP Host: -www.contoso.com 





4. ábra. TCP/IP-rétegek és példák 
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an Mivel csak a hálózati és Az ilyen típusú vizsgálatnak, illetve az 


szállítási réteg  fejléceit ISA idevágó szűrésének az előnyei vitatha- 


kell megvizsgálni, ezért tatlanok, mert minden átmenő kapcsolat 





kezdeményezése esetén használható (azt is jó 
tudni, hogy az ISA 2004-től kezdve a VPN- 


hálózatok esetén is működik). Valamint di 


rendkívül gyors. 
a Egy-egy konkrét IP-címet 
is blokkolhatunk vagy 


SYN received 


Send SYN 


seg-100 ctl -SYN 
vera i Send SYN,ACK (2) 


(kógsdodackztot  — namikus csomagszűrésnek is tekinthető, mi- 


engedélyezhetünk a segít 


ségével, akár a cél, akár -gy vel akármilyen porton érvényesülhet, illet 

8 SYN received eti—syn,ack) JA § Ű 
pedig a forráscímek te- ve csak addig kell, hogy éljen a kiválasztott 
je :b Established -] ák jé e ve] 
intetében. (seg5101 ack5301 tetszőleges port, ameddig a kapcsolat is él. 
a Alapértelmezésben hasz- ctlisack) Viszont a szimpla csomagszűrésnél is említett 








nálható speciális szűrés- végső kifogásunk továbbra is érvényes, mert 





5. ábra. A three-way handshake, azaz SYN-ACK-SYN-ACK 


re is, két ilyen extra pél az alkalmazási rétegben, egy legitim HIML- 


dát említenék meg, az forgalomban az esetleges rosszindulatú tarta- 


úgynevezett ingress, illetve eggress filtert. ! előélete. Ez az ún. stateful filtering, amely- ! lommal szemben béna kacsa ez a módszer is. 


Az első a tűzfal külső IPjén tiltja a logi- 
kailag a belső hálózathoz tartozó IP-címek 
hozzáférését. A második esetben pedig 
semmilyen forgalmat nem enged ki egy 
olyan IPcímről, amely nem szerepel a bel 
ső hálózat definiált címtartományában. 
Az előnyeivel szemben viszont azért van 
néhány olyan szituáció is, amellyel nem ké- 
pes megbirkózni. Ilyen eset például az add- 
ress spoofing (a megbízható hostgép forrás- 
IP-címének cseréje) vagy az útválasztási in- 
formációk cseréje és így a visszatérő csomag 
eltérítése (sourcerouting attack). A csomag- 
szűrés nem tekinthető alkalmazásérzékeny- 
nek sem, ami azt jelenti, hogy ha egy adott 
alkalmazás szokásos portját megváltoztatjuk, 
a mondjuk a szinte mindenhol átengedett 
szabvány ELT TPportra (TÉP 80) Sakkorva 
csomagszűrő tehetetlenné válik. 

De az IPcsomagok fragmentálása (darabo- 
lása) és a második, harmadik stb. darabban 
elrejtett káros tartalom módszerével szemben 
is hatástalan, mivel hagyományosan csak és 
kizárólag az első részt vizsgálja. 

Az ISA 2004/2006 kiszolgálókban közvet 
lenül nem tudjuk konfigurálni a csomagszű- 
rést, ettől függetlenül az említett két TCP/ 
IP-rétegben zajló forgalom alapos vizsgálata 
megtörténik. Ha például egy tűzfalszabály- 
lyal két különböző hálózat egy-egy gépe kö- 
zött minden protokollt engedélyezünk, ak- 
kora csomacszűró dolgozik" automatiku 
san. Vagy ha egy olyan szabályt kreálunk, 
amely például az SMITP-porthoz tilt minden 
hozzáférést, akkor ezt a feladatot is a csomag- 
szűrő végzi el. 

A második integrált szűúrőnk működésé- 
nek alapja nem a csomagok fejlécének vizs- 


gálata, hanem a csomagok állapota, illetve 
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lyel csak és kizárólag olyan csomagokat en- 
gedünk be például a publikus interfészről, 
amelynek már van múltja, azaz egy, a védett 
hálózatokból származó kérésre érkezett meg 
válaszként. Ha nem 


így van, akkor annak 


TETYKYSSTUN ÉS 
Accelerat 


a csomagnak nincs ke- fevrdrtnt get 





resnivalója a belső há- 
lózatokban (kéretlen Name 2 

CIDNS Filter 
vendég), tehát az ISA ; 

ÜJFTP Access Filter 
elutasítja. (gjH.323 Filter 

Ez a vizsgálat a fel (ZA MMS Filter 
sőbb rétegekben törté- EE e étéÉn 
K (22 POP Intrusion Detection ... 
nik meg, azaz csak a ; 

ÚJ PPTP Filter 
szállítási és/vagy az al elte 
kalmazási rétegben, (ZRTSP Filter 
mivel a TCP session in- ear 

lét. sas "Gaj SOCKS V4 Filter 
formációt használja. A 8 

7 web Proxy Filter 

bevezető után elérkez- 


Nem csigázom tovább a kedves olvasót, jöj- 
jönrarhaármacdiketi bús azaz azrallkalhnazásszűs 


rés, amelynek vonatkozásában az ISA Server 


jon Server 2006 


tényleg sok pozítivumot képes felmutatni. 


iption 
Filters DNS traffic 
Enables FTP protocols (client and server) 
Erneállsa H.323 ugdlnűl 


Enables Microsoft Media Streaming protocol 





/ Application Filters Xwveb Filters 


Vendor Versi 


Microsoft (R) Corporation 4.0 
Microsoft (R) Corporation 4.0 
Microsoft (R) Corporation 4.0 


Microsoft (R) Corporation 4.0 


Enables RealNetworks Streaming Media protocol Microsoft (R) Corporation 4.0 


Checks for POP buffer overflow attacks 
Enables PPTP tunneling through ISA Server 
Enables publishing of RPC servers 

Enables Real Time Streaming Protocol 
Filters SMTP traffic 

Enables SOCKS 4 communication 


Enables HTTP proxy and cache 


Microsoft (R) Corporation 4.0 
Microsoft (R) Corporation 4.0 
Microsoft (R) "FEVELSYSAZ 4.0 
Microsoft (R) Corporation 4.0 
Microsoft (R) Corporation 4.0 
Microsoft (R) Corporation 4.0 


Microsoft (R) Corporation 4.0 








tünk ahhoz a különle- 
ges módszerhez, amely 
az alapja lesz ennek vizsgálódásnak, azaz a 
threeway handshake trükkhöz: a , három- 
utas kézfogás -hoz. 

A módszer lényege a kölcsönös bizalom ki- 
építése, ami a belső kliens és a távoli gép kö- 
zött zajlik a köztük lévő ISA szigorú tekintete 
által követve. A két gép az egyedi TCP SYN 
(Synchronize) és az ACK (Acknowledgement) 
számokat küldözgetve, ezek értékét mindig 
eggyel megnövelve, a harmadik lépéstől kezd- 
ve muszáj, hogy nyugtázza egymásról, hogy 
az előző két lépésben is ők voltak a kézrázás 
résztvevői. Ha eljutnak idáig, akkor az ISA 
kimondja az áment, és mehet a rendes for- 
galom. De ez még nem minden, a kapcsolat 
lebontásakor is egyeztetnek - biztos, ami biz- 
tos -, ugyanezzel a módszerrel (de a SYN he- 
lyett a FIN jelzővel). 


6. ábra. A klasszikus alkalmazásszőrők listája (ISA 2006) 


Az alkalmazásfilterek segítségével az egész 
TCP/IP-csomag megnyitható, és nem kizáró- 
lag a fejléc, hanem az összes hasznos adat (a 
payload) is komplexen vizsgálható. 

E szűrők többsége nagyon összetett, első- 
sorban a protokollszintű ellenőrzésben, illet 
ve tartalomszűrésben segítenek, de a komp- 
lex protokollok esetén (például passzív FTP 
mód, streaming-alkalmazások) a helyes mű- 
ködésben is. Ezenkívül naplóbejegyzéseket 
és riasztásokat is generálhatnak. 

Az ISA MMC-ben az összes e kategóriába 
tartozó szűrőt megtaláljuk a ConfigurationN 
Addins pontban, két csoportban. 

Az első csoportba az összes klasszikus pro- 
tokollal kapcsolatos szűrő került. Ezeket ál 
talában kevésbé tudjuk konfigurálni, erre 
jó példaként megemlíthetjük a POP3-filtert, 
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General SMTP Commands ! 


04 AUTH 1024 
és BDAT 20 
és DATA 6 
és EHLO 71 
és EXPN 71 
hé HELO 71 
b) HELP 6 
a MAIL FROM: 265 
és NOOP 6 
vé GUIT 6 
és RCPT TO: 265 
9 RSET 6 


Add... 1 Hemüve j 








mig gr éd ue rgaa MI! 








ÜK 1 Cancel £pplii w 


7IXI a HITPforgalomban beágya- 
zódó forgalmat, illetve az ezt a 
portot használó alkalmazáso- 
kat is. Így aztán működnek a 
fájlcserélő szoftverek, működ- 
nek a webes üzenetküldők, a 
vírusok, a férgek és a kémprog- 
ramok is, ezek forgalmába a 
csomagszűrő és a stateful filter 
nem képes beleszólni, elvileg 
minden szabályosan történik, 
a fejléc általában rendben is 
van, a gond inkább a payload- 
2] dal, azaz a hasznos tartalom- 
mal kezdődik. 

Az ISA 2004-ben bevezetett 
HTIPfilter viszont megoldhat 
ja a problémánkat. Nézzük meg 


tehát egy-egy bővített mondat 





7. ábra. Az ISA SMTP-filtere 


amelybe több POP3 sérülékenység figyelése 
van , bedrótozva", és amely egy felismert ano- 
mália/incidens esetén oda is csap, ha kell, vi 
szont összesen csak a be- és a kikapcsolására 
van lehetőség. 

Ennek - a konfigurálhatóság szempont 
jából - némiképp ellentéte az SMTP-ilter, 


ahol az alapértelmezés szerint 


ban a szűrő képességeit! 
A General fülön az URL- 
állíthatjuk 


be, egyet emelnék ki, éspedig azért, mert 


lel kapcsolatos  restrikciókat 


Magyarországon komoly problémákat okoz- 
hat ha: bekapcsoljuk "Ez a Block higA bit 
characters", amely az ASCII 127 feletti karak- 
tereket tiltja az URL-ben, és amely - gondol 
junk bele - egy OWA- vagy Sharepointhasz- 





az SMIP-parancsokat engedé- 
lyezhetjük vagy tilthatjuk le, il 
letve a parancsok hosszát is sza- 
bályozhatjuk, azaz elérhetjük 
például, hogy egy , REPT TO:" 
ne lehessen több a szabványos 
266 bájtnál. 

(Megjegyzés. Ha  feltele- 
pítjük az ISA 2004 Message 


Screener komponenst, akkor 






ez a szűrő kibővül majd jó pár 
további lehetőséggel. Az ISA 
2006-ból viszont ez az összete- 
vő kikerült.) 

A második csoportban a we- 
bes forgalomhoz kötődő ösz- 
szes filtert találjuk meg, több 


más fontos szűrő mellett a leg- 





érdekesebb, a legalaposabban 
szabályozható és a leglátványo- 
sabb a HITP-filterrel együtt. 

A HITPfilter azért fontos, mert ott szűr, 
ahol általában sajnos kompromisszumra 
kényszerülünk. Ugyanis a 80-as portot szinte 


mindenképpen kiengedjük a tűzfalon, tehát 
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Configure HTTP policy for rule Mi 


General IMethods I Extensions I Headers I signatures ] 


Reguest Headers 
Maximum headers lenath (bytes): 32758 


Reguest Pavlcad 
B allow any pavload length 


URL Frotectian 
Maximum URL lenath (bytesh: 


21] 


Maximum pavload length (bytes): 


Maximum aguery lenath bytesh: 


5 verify normalization 


5 Elack hiah bit characters 


Executables 
5 Elackresponses containing Windows executable cantent 


cat [rev] 


8. ábra. A HTTP-filter egészen nagy tudású 








nálat esetén érdekes eredményre vezet majd. 
A Method; fül a HI TPmetódusok haszná- 
latát szabályozza, azaz tetszés szerintieket fel 


vehetünk, például egy POST felvitele esetén 
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az adott tűzfalszabályban HTTP-hozzáférést 
élvező felhasználók egyetlen űrlapot sem fog- 
nak tudni elküldeni a böngészés során, de az 
ellenségeinknél a GET tiltása is remek buli. 

Az Extensions fül az URL-ben szereplő 
kiterjesztések szűrésére használatos, azaz az 
általunk megadottakat tilthatjuk, illetve ext 
rém esetben engedélyezhetjük. 

A Headers fül a HTIPfejléc tetszőleges 
elemeit blokkolhatja, és olyan további extra 
lehetőségek is itt találhatók, mint a webszer- 
verünk fejlécének levágása vagy cseréje, illet 
ve például a , Via header" beállítás (ez külön 
megérne egy misét). 

A Signatures fül az egyik leghasznosabb 
lehetőség a fájlcserélők vagy például a webes 
üzenetküldők ellen. 

A mindig egyedi, csak adott tartalomra jel 
lemző szignatúrák listába felvételével, majd 
tiltásával alaposan lefékezhetjük a 80-as por 
ton működő, HTIP-be ágyazott egyéb al 
kalmazásokat. Az ismert szignatúrák listá- 
ját megtaláljuk például a következő címen: 
http:/tinyurl.com/v7ewg, de egy Network 
Monitorral is bármikor kinyerhetők az adott 
forgalomból. 

Ezt a szűrőt minden egyes tűzfalszabályon 
akár külön-külön is alkalmazhatjuk (jobb 
soMmD raz adott szabályon; majd§ Contieure 
HTTP"), az összes opciója közül csak egyet 
lenegy van, amely globális, ez az alsó ábrán 
is látható Reguest Headers. A HITP-filter 
általában a belső hálózat ügyfelei és a külső 
hálózat webszerverei között használatos, de 
nincs akadálya a belső webszerverek forga- 
lomszűrésének sem. 

Az alkalmazás- és webfilterek nagyon hasz- 
nos szolgálatot tehetnek, gyakorlatilag nél 
külözhetetlenek, és szerencsére növekszik a 
számuk is. Az ISA 2004 SP2-ben történt egy 
nagyobb adag bővítés, illetve az ISA 2006-tal 
is érkezett jó pár új filter a Microsofttól. De 
külső gyártók szűrőinek rendszerbe illesztésé- 
re is van lehetőség. 

Egyetlen hátránnyal kell számolunk ezek- 
kel a szűrőkkel kapcsolatban, és ez a meg- 
növekedett teljesítményigény, ami logikusan 
következik az alaposságukból, illetve a széles- 
körű alkalmazási területből, de azért ne ijed- 
jünk meg: ez a terhelés még bőven elviselhető 
mértékű. 

Gál Iamás 
(v-tagal microsoft.com) 
Microsoft Magyarország 
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— INFRASTRUKTÚRA 


GYORSSEGÉLY I-II. 


Miért nem tut standard felhasználóval az Age of Empires 29 
Hogyan lehet használaton kívüli gépeket keresni az ADExplorerrel? 


tthon van egy már kicsit korosodó, de internetezésre és szövegszerkesztésre jó note- ! tag, így a ,switch user" lehetőséggel egyszer- 


bookom. Mivel a fiaim már abban a korban vannak, amikor képesek kezelni a gé- ! re több fiók is lehetett belépve, természete- 
pet, és az osztálytársak inspirációjára szívesen játszanak rajta, ezért kénytelen voltam ! sen a fiam fiókjából is lehetett volna futtatni 
egy-két játékot is telepíteni rá. a File Monitort , run as..."-zel). 

Rögtön a File Monitor naplóbejegyzései- 


Játszani is engedve 


Mivel nem túl erős gépről van 


nek végére gördítettem és onnan kezdtem 


Age ol Empires II Expansion hasz encountered a problem 


and needs ta close. We are sorry for the inconyvenience. el visszafelé nézni, hogy vajon hol van vala- 


h 


IF von were im the middle of zornethima, the information yon were workina or 
miaht be lost. 


szó, ezért egy régebbi Age of mi gyanús. Nem is kellett sokat keresgélni, 


Empires-változat mellett döntöt ahogy az a 2. ábrán is látszik, a. program 


tem. Az én felhasználói fiókom a , Program Files" alatti saját könyvtárába 


Pleaze tell Hicrozolt about thiz problem. 

e have created an error report that won can send ta help uz Iimproxe 
Age olt Empires II Expansiom. we wull treat this report az confidential and 
ANOKNYTMOLIZ. 


rendszergazdai jogosultságú, ez- szeretne fájlt létrehozni (Create), ami ugye 


felhasználói jogosultságokkal nem sikerül 


(Access denied). 
A megoldás tehát az volt, hogy meg kellett 


zel belépve telepítettem, és ki is 


próbáltam. Hiba nélkül futott Ta sze mihat data this error report contains, click here. 


zend Error Hepurt I 


1. ábra. Vajon mitől szállt el a program? 


a program, az emberek szépen 








gyűjtögették az élelmiszert, fát, emelni a Users csoport jogosultságait a játék 


aranyat és követ, a katonák meg telepítési könyvtárára, és így már vidáman 
harcoltak derekasan. tudtak csatázni, és a File Monitor segített 
Mivel nem szeretem, ha a fiaim hozzáférnek az én állományaimhoz, és nem akarom, hogy ! apai tekintélyem megőrzésében. 
internetezés közben mindenféle dolgot telepítsenek, így ők külön felhasználói fiók nevében 

Használaton kívüli gépek keresése 
ADEXxplorerrel 


A Systems Management Server segítségével 


lépnek be, egyszerű felhasználói jogosultsággal. 
Amikor azonban nagy örömmel el akarták indítani az Age of Empires-t, a felvezető kis mo- 
zifilm és az indítás után az alábbi csúnya hibaüzenettel , elszállt" a játék (lásd I. ábra). 


Muszáj volt kijavítanom a problémát, hiszen apai tekintélyem forgott kockán. Mi leheta ! képesek vagyunk egyszerűen kigyűjteni azo- 


baj? Mivel mélyreható debugoláshoz nem 
értek, olyan eszközt kellett keresnem, amely- 
lyel kideríthetem, hogy hol okoz problémát a 
rendszergazdai jogok hiánya? 

A választás a sysinternals egyik eszkö- 
zére, a File Monitorra esett. A felhaszná- 
lói fiókommal belépve elindítottam a File 
Monitort. Természetesen rögtön elkezdte ki- 
jelezni a fájlaktivitásokat: vírusirtó, Windows 
Defender, touchpad-vezérlő, rendszerszolgál- 
tatások, Windows Update stb. stb., de ezek 
engem nem érdekeltek, így ,exkludáltam" 
őket a megfigyelésből. 

Átléptem a fiam fiókjába, indítottam a já- 
tékot, megvártam a hibát, majd visszaléptem 
a fiókomba, ahol még mindig futott a File 
Monitor, és regisztrálta az age2 xl.exe fo- 


lyamat fájlműveleteit (a gép nem tartományi 


KR 


File Monitor - Sysinternals: www.sysinternals.com 


File Edit  Öptions  Yolumes Help 





Hz! 
Time 
0.00005559 
0.001£8792 
0.00041402 
0.00078585 
0.00123898 
0.000£2243 
0.00177173 
0.0009£521 
0.00038943 
0.00087302 
0.00089201 
0.00039027 
0.00074227 
0.0010£298 
0.00038552 
0.00084999 
0.00058974 
0.000£1544 
0.00074535 
0.00226425 
0.00047297 
0.000750£5 
0.0010£6582 
0.00038776 
0.00073976 
0.00094789 
0.00038524 
0.00083502 
0.00098476 
0.00038329 
0.00050370 


2. ábra. Vizsgáljuk a fájlműveleteket File Monitorral! 


ABE VIV 


Process 


I age2 x1.exe:2480 
II age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
-I age2 x1.exe:2480 
-I age2 x1.exe:2480 
I age2 x1.exe:2480 
II age2 x1.exe:2480 
— age2 xI.exe:2480 
I age2 x1.exe:2480 
— age2 x1.exe:2480 
I age2 x1.exe:2480 
— age2 x1.exe:2480 
II age2 x1.exe:2480 
I age2 x1.exe:2480 
II age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
II age2 x1.exe:2480 
I age2 x1.exe:2480 
-I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 
I age2 x1.exe:2480 


: 


Regu... 


DIRECT... 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁSTE 
CREÁATE 
CREÁATE 
CREATE 
CREÁATE 
CREATE 
CREÁATE 
CREÁATE 
CREÁáTE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
CREÁATE 
ÜPFEN 


Path 


C:Program FilessMicrosolt Gamestáge of Empires Ilssavegames 

C:Program FilessMicrosolt Gamesságe of Empires Ilsdatatloadsai petersen rules.per 
C:Program FilessMicrosolt Gamestáge of Empires Ilydata4loadspetersen deathmatch.per 
CAProgram FilesttMicrosott Gamestáge of Empires Ilsdatatloadspetersen upgrades.per 
CAProgram FilestMicrosolt Gamestáge of Empires Ilsdatatloadspetersen fishboat.per 
CAProgram FilessMicrosott Gamestáge of Empires Ilsdatatloadspetersen dip liar.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilsdatatloadspetersen warboat.per 
CAProgram FilessMicrosott Gamestáge of Empires Ilsdatatloadspetersen supplement.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilydatatloadspetersen difficulty loads.per 
CAProgram FilestMicrosolt Gamestáge of Empires Ilsdatatloadspetersen full tech.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilsdatasloadspetersen map loads.per 
C:XProgram FilessMicrosoít Gamestáge of Empires Ilydata4loadspetersen civ loads.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilsdatasloadspetersen töwer.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilsdatatloadspetersen diplomacy.per 
CAProgram FilestMicrosott Gamestáge of Empires Ilsdatatloadspetersen castle.per 
C:XProgram FilessMicrosoít Gamestáge of Empires Ilydata4loadspetersen resign.per 
C:Program FilessMicrosoít Gamestáge of Empires Ilxdatatloadspetersen wonder.per 
C:Program FilessMicrosolt Gamestáge of Empires Ilydata4loadspetersen market.per 
C:Program FilessMicrosoít Gamestáge of Empires Ilydata4loadspetersen dip boomer.per 
C:Program FilessMicrosolt Gamesságe of Empires Ilydata4loadspetersen gather.per 
CAProgram FilessMicrosoft Gamestáge of Empires Isdatatloadspetersen dip feeder.per 
C:YProgram FilessMicrosolt Gamesságe of Empires Ilydata4loadspetersen groups.per 
CAProgram FilessMicrosott Gamestéáge of Empires Isdatatloadspetersen dip insult.per 
CAProgram FilessMicrosott Gamestáge of Empires Ilydatasloadspetersen dip bully.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilsdatatloadspetersen warboat island.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilydatatloadspetersen rush.per 
CAProgram FilessMicrosott Gamestáge of Empires Ilsdatatloadvrandomgame. per 
CAProgram FilessMicrosott Gamestáge of Empires Ilydatatloadspetersen constants.per 
C-AProgram FilessMicrosoít Gamestáge of Empires Ilydata4loaduwonder rush.per 
CAProgram FilessMicrosolt Gamestáge of Empires Ilydata4loaduwonder kill.per 
CAProgram FilessMicrosoltt Gamestáge of Empires IlsdatatloadsR andomíG ame. per 

ÜL Lászázszáttsztá 


Result 


NO SUCH FILE 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
ACCESS DENIED 
NOT FOUND 


Üther 


FileBothDirectoryint. 
500ST-HOMESBe.. 
S500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
S500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
S500ST-HOMESBe.. 
S500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
S500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 
500ST-HOMESBe.. 


a 


5005ST-HÜMESBE.. 
SO0ST-HOMESBe.. 
500ST-HOMESBe.. 
5005ST-HOMESNBEe.. — 


500ST-HOMESBe.. 
500ST-HOMESBe.. 
Options: pen Acc. 
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kat a számítógépeket, amelyek használaton 
kívül vannak egy ideje. De vajon ehhez az 
egyszerű információhoz csak egy komoly, 
nagy rendszermenedzsmentszofítverrel lehet 
hozzájutni? 

Kíváncsi voltam, hogy az Active Directory 
adatbázisa nem rejtegete ilyen jellegű infor- 
mációkat? 

Első próbálkozásom az Active Directory 
Users and Computers eszköz volt. Nézegettem 


a gépem objektumának tulajdonságlapjait: 


SOOSTIBOR Properties 





[General —— ] ——— Operating System 
!  Delegation ! Location !  Managed By 





Canonical name of object: 








2005. 11. 10. 14:01:07 
Modffied: 2007. 10. 19. 8:57-10 
Update Seguence Numbers (USNs5): 
Current: 12780029 


Original: 51331 














3. ábra. A számítógépfiók tulajdonságlapja 


De itt ilyen jellegű információ nem volt. 
Van egy viszonylag friss , Modified" attri- 
bútum, de ez nem biztos, hogy kapcsolódik 
a gép tényleges , életéhez". Elő a sysinter- 
nals egy új és nagyon praktikus eszközét, az 


ADExplorert! 
Hoppá! Van itt egy lastLogon, meg egy 


lastLogonTimestamp attribútum is (4. ábra). 








1 


File Edit Favorites Search compare History Help 


Na de melyiket vegyük alapul? Ha visszate- 
kintünk a 3. ábra Modified értékére, látjuk, 
hogy ez a lastLogonTimestamp-pel egyezik. 
De vajon miért? Kis utána olvasással (lásd az 
elérési útvonalat a külön keretben) kiderült, 
hogy a lastLogon a pontosabb érték, de a baja 
az, hogy nem replikálódik a tartományvezér- 
lők között, így ha legalább két DC-nk van, ak- 
kor félrevezethet minket. A lastLogonTimes- 
tamp replikálódik, viszont nem annyira pon- 
tos, akár 14 napot is tévedhet. Ha tényleg a 
régen bejelentkezett gépekre vagyunk kíván- 
csiak, akkor ez nem jelent akkora problémát. 

Ezzel mindjárt választ kapunk arra is, 
hogy a Modified érték miért a lastLogon- 
Timestamp értékkel van szinkronban: a rep- 
likáció miatt. 

Viszont a probléma most már az, hogy ho- 
gyan tudunk keresni erre a paraméterre? Ha 
ADSIEdittel nézünk rá ugyanerre a paramé- 
terre, akkor egy rőfös számot látunk (5. ábra). 

Hogyan lesz a 128372506160973746 szám- 
ból 2007. 10. 25. 1:06:18? Szintén a hivatko- 
zott linken megtaláljuk a magyarázatot: az 
1601. 01. OI. óta eltelt 100-nanoszekundu- 
mok adják ki azt a nagyon nagy számot. 
Sajnos az Excel dátumformátuma nem tud 
ilyen régi dátumokat tárolni, de a fenti dá- 
tum és szám párosának segítségével végül 
is bármilyen , mostani" dátumhoz tartozó 
hosszú, 8 bájtos egész kiszámolható. Így pék 
dául a 2007. október 1. előtt bejelentkezett 
gépekre az alábbi LDAP-lekérdezéssel lehet 


rálelni: 


(8.(objectCategory— computer) (lastLogonTimestamp C— 
128351730380973000)) 


Active Directory Explorer - Sysinternalsz vrvrwve.sysinternals.com [k-dc3 [k-dc3.kfki.... Elle] Eg 


Path: ! CN-SOOSTIBOR, OU -I0IB,0U-Workstations DC -kfki, DC—corp,k-dc3 [k-dc3.kfki.corp] 










Attribute 

display Name 
distinguishedName 
dSHostame 


EE 01-Warkstatior 4.) 
- [2 CN-B-HPNB 
HI. [md CM—e-backu 


mi CM—e-backu 


[A CN.—EXT-AD 
[5 CN-FIAKNB 


EH. (éő) 0-GAS —-] 
FI. [md CN-GYARM, 


mil CN-I-CSOM 


(H-(ÉB] 01-ICON 
: CN-—IPS-TES 
HE] 011-IOJB 


(all Ana mm a 


A EEZE öö [68 IT 


instanceT ype 


lasttogoff 
lastLogan 


lacalPalicyFlags 


ss B Bement VT mert mesz Ja 


dsCareFropagationliata 


isCriticalsystemübject 


lastLogontTimestamp 


ayntax vValuets) 
Directorystring SOOSTIBORÉ 

DN CN-SŐÖSTIBŐR  ÖLI—IK 
Directorystrina soastibar.kfki.corp 
GeneralizedTtime 27007. 10. 08. 12-20:3 
Integer a j 
Bcalean FALSE 

Integer8 Üxü 

Integer8 7007. 10. 22. LÜ6:-18 
Integer8 2007. 10. 19. 8:56:56 
Integer ü 


T—L- — "Thar 


- 





























CN-SOGSTIBOR,011—I01B,011—-Workstations, DC —kfki, DE —corp,k-dc3 [k-dc3.kfki.corp] 


4. ábra. Az ADExplorer eszköz bevetés közben 


NOVEMBER-DECEMBER 


CN-SOOSTIBOR Properties 


Attribute Editor ! Security 3 

[V] Show mandatory attributes 
[7] Show optional attributes 
[4] Show only attributes that have values 
Attnibutes: 

Attribute Syntax Value 

dNSHostName Unicode String soostibor.kfki.corp 
fromEntry Boolean TRUE 

instance Type Integer 4 

isCriticalSystemObject  Boolean FALSE 

lastLogon Large Integer/... . 128371758465170372 
lastLogon Timestamp Large Integer/... . 128372506160973746 
localPolicyHags Integer 0 

logonCount Integer 

modíify TimeStamp UTC Coded Ti... 
msD$S-Approx-Immed-... . Integer 
msDS$S-KeyVersionNu... . Integer 
msD5$S-ReplAttributeM... . Unicode String 


ran TVC 1 lesze Na em ludas mar 


JULI 





si 
2007. 10. 19. 6:57:00 
0 


23 
-DS REPL ATTR MET. 
n Nő 


























5. ábra. Az ADSIEdit dátummegjelenítése nem éppen 
barátságos 


Ezt akár az Active Directory Users and 
Computers Custom Search-ével, vagy az 
ADExplorer alábbi Search-felületével elő le- 
het állítani: 


edett rek eT a 


Search for objects with the following attributes: 
Cass: — Common classes — 














Attibute:  lastLogon Timestamp 





Relation:  ! is v 











Value: 











rlastLogonTimestampc-128351730380973000)) 








Current Search Criteria: 

Attribute Relation Value 

objectCategory is computer 
lastLogonTimestamp lessthan 128351730380973000 

















distinguishedName objectCategory 


lastLogonTimestz 9 
(EJCN-SZILVASIATT... CN-Computer CN-Schema CN-Corfi... . 2007. 09. 24. 951 
(EJ CN-SZL-HOME2,... CN:Computer CN-Schema CN-Corfi... . 2007. 09. 24. 727 
(EJCN-BARSONYPE... CN-Computer.CN-Schema CN-Corfi... . 2007. 09. 23. 9:12 sz 
ke mi l 2! 











6. ábra. A számunkra érdekes gépek keresése 


Az ADExplorer praktikussága abban is 
megmutatkozik, hogy az eredménylistában 
rögtön látjuk a keresett attribútumot, rá- 
adásul intelligensen rögtön dátummá kon- 
vertálva, így könnyebb is ellenőrizni a lekér- 
dezésünket. 

Soós Tibor 
(soostigjb.hu) 
MCT, IÓSOFT — John Bryce Oktatóközpont 


NT TT etánt Te tatol 


http://www.microsoft.com/technet/scriptcenter/ 
topics/win2003/lastlogon.mspx 
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GYORSSEGÉLY III. 


ekem jutott egy feladat: számoljam 

Össze egy tartományvezérlőn, hogy 

naponta hány bejegyzés kerül a se- 
curity logba. 

Nyilván sokféleképpen neki lehet ugrani 
a munkának, szerencsére a DC 2003-as, te- 
hát felmegy rá a PowerShell. Maga a szkript 
nem nagy Ügy. 

Na de ezzel szemben mekkora kaland volt 
a beidőzítése! 

A parancssorok ugyanis rendben lefutot 
tak a shellen belül - de ha be akartam tenni 
a scheduled jobok közé, akkor egy batch-fájlt 
kellett alkotnom. Nyitottam egy .txt fájlt, 
a PowerShellből egyenként átmásoltam a 
sorokat (bemeszel, enter, ctrltv), majd az 
egészet elmentettem eventloggery.psi1 néven. 
Ezután, ahogy a nagykönyvben meg van ír- 


va, el is indítottam: 


cAwindowstsystems2ZwindowspowershellvI.ON 
powershell.exe -command ,, .cXuseryoepvnelőd 
eventloggvery.ps]" 


Lefutott. Éreztem, mennyire süvít fülem 
mellett a levegő, ahogy öles léptekkel haladok 
előre. Most már csak ezt a meglehetősen komp- 
likált parancsot kell betenni egy .cmd fájlba, 
hogy ne legyen baj az ütemezett feladat indítá- 
sánál a paraméterrel. Kreáltam egy újabb .txt 
fájlt, bemeszeltem a command promptban a 
szöveget... Azaz bemeszeltem volna, csakhogy 
ez blobkkmódban meszelt, az én sorom meg 
elég hosszú volt ahhoz, hogy megtörjön. Eh, 
mit nekem - legyintettem, és bemeszeltem az 
egész blokkot, majd beledobtam a .txt fájlba, 


és elmentettem startguery.cmd néven. 


Kalandok a PowerShellel. 


Total Commander, kövér enter a .cmd 
fájlra. Nem történt semmi. Ilyenkor jön az, 
hogy megpróbáljuk a programot command 
promptból indítani, hogy lássuk, mi is a hi- 
baüzenet. 

Cmd, begaloppoztam a szkriptkönyvtár- 
ba, startguery.cmd. Erre felugrott egy ablak, 
hogy , Sajnálom, de a powershell.exe nem 
Windows-program." Hűha! MI: történt? 

Nézzük ugyanezt a Start Menüből! Ugyan- 
ez. Mármint a válaszablak is. Akkor épp itt 
az idő, hogy vessünk egy pillantást arra az 
.exere. 

Nulla. Egy nagy nulla a powershell.exe 
mérete. Fejvakarás. Na de már, tényleg már... 
hát ilyen azért nincs. Oké, nem vagyok egy 
programozózseni, de azért ez a szkript nem 
volt annyira rossz, hogy a shellnek el kellett 
volna menekülnie a gépről. 

Most hagyok egy kis időt gondolkodásra, 
hogy mi is történhetett. 

Persze én sem jöttem rá egyből. 

Elgondolkodtam. Mit is futtattam? A 
startguery.cmd-t. Oké, oké... de abban mi is 


volt pontosan? Ez. 


CARskitVToolsz cAwindowstsystem32N 
windowspowershellwvI.OWpowershell.exe -command 
a. CNvseryoepvmelőveventlogguery.ps 1" 





Látható, hogy a blokk alapú másolás miatt 
benne maradt a parancssori konzol prompt 
ja. De mi történik, ha ezt a promptot pa- 
rancsként értelmezem? Van ugye egy könyv- 
tárnév (CXNRskitXlools), egy kacsacsőrt(!!!) 
és a powershell.exe teljes útvonalastul, meg 


utána némi paraméter. 








ez microsoft.powershell.consolehost. dil-help xmi 14 558 2006.09.08 10:28 — 
19: microsoft.powershell.security.dil-help xmi 120 106 2006.09.08 10:28 — 
Elpowershell KOZá Ét exe . 0 2007.09.14 11:20 -a 
[6 powershell.exe mui 9 216 2006.09.29 09:14 — 
(a powershellcore.format ps1xmi 65 283 2006.09.08 10:28 — 
e psixml 13 394 2006.09.08 01:28 — 

Dpwrshmsa dll 4 608 2006.09.29 09:14 — 








Vajon mitől lett 0 a PowerShell.exe mérete? 


La 


Ez bizony azt csinálta, hogy a könyvtárnév 
mint parancs üres kimenetét belemásolta a 
powershell.exe fájlba. Keményen. 

Szerencsére nem ez a gép vezérelte a paksi 
atomerőművet, így végül beletörődtem: hü- 
lye voltam, sebaj. Némi további küzdelem 
árán feltettem újra a PowerShellt. 

Meg voltam győződve róla, hogy innentől 
minden simán fog menni. 

Persze nem lett igazam. Startguery.cmd 
error. Nem találja a paraméterként átadott 
szkriptet. Belenéztem megint a parancsfájlba, 
minden oké. Gyors ellenőrzés: a szkript ott 
van. Akkor? Beletelt egy kis időbe, mire esz- 
méltem: a szkript elérési útvonalában van egy 
"ó" betű. Ez a notepadben tökéletesen mutat, 
de a parancs futtatásakor már átalakul vala- 
mi kriksz-kraksszá. Nem részletezem: meg- 
próbáltam mindenféle módon elmenteni a 
parancsfájlt, megpróbálkoztam többszörös 
idézőjelezésekkel, de semmire sem mentem 
vele. Végül fogtam a szkriptkönyvtárat, és ki- 
penderítettem a c: gyökér alá. 

Gondoltam, most már tényleg futnia kell 
a nyomorultnak. De nem futott. Kiírt egy 
hibaüzenetet. Egész pontosan azt, hogy a 
PowerShell sajnos képtelen szkriptet futtat 
ni. Valószínűleg máskor jót kacagtam volna 
ezen a poénon, de akkor már nem igazán 
voltam vicces kedvemben. Rövid nyomo- 
zás után kiderült, annyi az összes baja, hogy 
nem írtam alá a szkriptemet. Valahol érthe- 
tő. Mint ahogy az én reakcióm is: inkább 
gyorsan kikapcsoltam a védelmet. Set-exe- 
cutionpolicy unrestricted... és kész. Most már 
tényleg lefutott a startguery.cmd, lehetett 
időzíteni. 

Zárszóként mit is mondhatnék: nem érde- 
mes lefuttatni a shell promptját. Nem olyan 
jó ötlet, mint ahogy elsőre látszik. 

Petrényi József 
Exchange MVP, MCSE--M, MCITP 
(petrenyi.jozsef(osao.hu) SA0-Synergon 
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Az IISZ FTP- 





KISZOLGÁLÓJA 


A Windows Server 2008-ban elérhető FIP-kiszolgáló számos fontos 


újítást tartalmaz — ezeket tekintjük át ebben a cikkben. 


z FTP-kiszolgáló igencsak mostohagyermek volt az IIS-családban. A fejlesztés fő csa- 

pásirányát a webkiszolgáló adta, az FIP kérdését egy eléggé alacsony kategóriás szerver 

látta el. Most, a Windows Server 2008-ban szerencsére az FIP-kiszolgáló jelentősen 
megerősödve került ki a fejlesztők keze közül. 

Először is tisztázzuk, mire használják az emberek az FI P-szerverüket. Az FTP fájlok megbíz- 
ható és hatékony átvitelére van kitalálva. Gyakran együtt használják egy webkiszolgálóval, így 
a weben látható tartalmat FI P-kapcsolaton keresztül frissítik. Ehhez elengedhetetlen, hogy a 
csatornán áthaladó adatok és vezérlőadatok (mint felhasználói információk) titkosítva legye- 


nek. Ezt is biztosítja az FIP/SSL-protokoll támogatása. Nézzük meg közelebbről! 


Integráció a webkiszolgálóval 

Az FIP-publikálást éppúgy hozzá lehet rendelni egy adott könyvtárhoz, mint ahogy eddig a 
HITTP-t vagy HTIPS-. Azaz ugyanazt a tartalmat hozzáférhetővé tehetjük a webes látogatók 
számára is, és frissíteni is tudjuk FTP-n keresztül (1. ábra). 


A publikálás második lépésében a hitelesítés és a jogosultságkezelés alapvető jellemzőit ál 


líthatjuk be (2. ábra). Ezeket később sokkal részletesebben is szabályozhatjuk. 
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tó csatorna, amely- 


1. ábra. Website közzététele FTP-protokollon keresztül is 


re jelenleg kétféle 
alkal 


mas. Az SFIP elsősorban nyílt forrású környezetben használatos, kevésbé szabványosított, 


megoldás 


nem tanúsítvány alapú, és nehéz konfigurálni, hogy csak fájlmásolásra használják, telnet jel 


legű módon nem. 
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Add FTP Site Publishing 
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— authentication 
T anonymous 
I Basic 
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Allow access to: 
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2. ábra. Hitelesítés és jogosultságok nagyvonalú 
szabályozása 


Ezzel szemben az FIP/SSL vagy röviden 
FITPS egyszerűen az eredeti FI P-protokollt 
használja, csak azt ráülteti egy SSL-csatorná- 
ra. A Microsoft ez utóbbit implementálta az 
IIS7-ben. 

Az IIS7 ET P-kiszolgálójában szabályozhat 
juk, hogy a kiszolgáló terhelése vagy a lazább 
biztonság irányába hangoljuk-e a szerverün- 
ket. Ha csak a vezérlőcsatornát titkosítjuk, 
akkor a felhasználói név, jelszó, fájlnevek stb. 
nem lesznek láthatóak a dróton, de az átvitt 
fájlok igen. Ez elég jó kompromisszum, ha 
nem érzékeny természetű adatok vannak a 
fájlokban. 

Ennek az üzemmódnak az egyik változa- 
ta, hogy csak a hitelesítési információkat 
szeretnénk titkosítani, a fájlok átnevezését, 
könyvtárak listázást, tehát az egyéb paran- 
csokat nem. 

Bekapcsolható, hogy az adatcsatorna is 
titkosítva legyen, ez jelentős terhelést okoz 
a kiszolgálónak és az ügyfélprogramnak is, 


de cserébe az adatok valóban biztonságban 
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3. ábra. Titkosítási beállítások az adatcsatornára és a vezérlő csatornára 


E Internet Information Services (IIS) Manager Hit Ei 





Go ( Op WIN-BPZYBAVIOJN 5 Sítes b DefaultwebSite 
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4. ábra. Az FTP-protokoll binding beálltásaival kevesebb IP-címre van szükségünk, 


mint ahány site-ot ki akarunk szolgálni 


utaznak. Nemcsak, hogy nem lehet őket lát 
ni, de a röptében történő módosítás ellen is 
védettek, köszönhetően az SSL-nek. 

Az adatcsatorna titkosítását meg is lehet 
tiltani, így ha az FIP-kliens így akar bejön- 
ni, lepattan a szerverről. Ennek nyilvánvaló 
haszna, hogy védjük a kiszolgáló értékes erő- 
forrásait a túlbuzgóan paranoiás ügyfelektől. 

Mindebből következik, hogy az ügyfél 
programnak is van elképzelése a titkosítási 
szintről, és a kiszolgálónak is. Csak ha a ket 
tő fedi egymást, akkor lesz sikeres az adatok 
átvitele. 

Az előbbi lehetőségeket figyelhetjük meg 
a 3. ábrán. 


Virtuális FTP-kiszolgálók 

Webkiszolgálóknál megszokott dolog, hogy 
egy IP-címen több webes tartalmat is publi- 
kálunk. A böngészők mindig elküldik egy 
HTTP-ejlécben, hogy melyik névvel hivat 






























5. ábra. A két új felhasználóiadatbázis-szolgáltató 





Add Role Services xi 


select the role services to install for web Server (IIS): 
Role services: 


Description: 

Management Service provides 
infrastructure to configure the IIS 7.0 
user interface, IIS Manager, for 
remote management in IIS 7.0. 






Í ] Digest Authentication 
[] client Certificate Mapping öuthentication 
[] IIS Client Certificate Mapping öuthentication 
L] URL áuthorization 

Reguest Filtering  (Installed) 

L) IP and Domain Restrictions 
(Hl Performance (Installed) 

Static Content Compression (Installed) 
FI Dynamic Content Compression 





A [E Management Tools (Installed) 


IIS Management Console (Installed) 
L] IS Management Scripts and Tools 
[v] Management Service 
(Hl) IIS 6 Management Compatibility (Installed) 
Z! IIS 6 Metabase Compatibility (Installed) 
F) IIS 6 WMI Compatibility 
[] IIS 6 Scripting Tools 
[] IIS 6 Management Console 








a [] FTP Publishing Service 


L] FTP Server 
[] FTP Management Console 


More about role services 





6. ábra. Az IIS Management Service, amely az FTP-kiszolgáló saját felhasználóinak 


kezeléséhez szükséges (és nem utolsósorban a távoli adminisztrációhoz is) 


kozott a szörföző a website-ra, így a kiszol 
gáló egy IP-címen sokféle tartalmat képes 
közzétenni. 

Hogy érthetőbb legyen, tegyük fel, hogy a 
www.alma.hu és a  www.korte.hu is ugyanazzal 
az IPcímmel, mondjuk, 100.101.102.103-mal 
van regisztrálva a DNS-ben. A böngészőbe be- 
írjuk, hogy www.alma.hu. A böngésző a DNS 
segítségével feloldja a nevet az IP-címre, és csat 
lakozik a kiszolgáló 80-as portjára. HTTP-fej- 
lécben elküldi, hogy melyik site érdekli: 


Host: www.alma.hu. 


A kiszolgáló megnézi, hogy milyen tartalmat 
kell neki kiadnia erre a névre, azaz van egy 
táblázata hostnév és webalkalmazások helyi 
könyvtára párosokkal. Például a www.alma. 
hu a CNinetpubvalma címre képződik le, in- 
nen olvassa fel és értelmezi a kért állományt. 


Pontosan ugyanez a módszer működik 
EPT site-okra is az IIS7-ben, mint ahogy az a 
4. ábrán is látható. 


Hitelesítés 

Sokfelhasználós FTP-kiszolgálók esetén az 
egyik legkritikusabb pont a felhasználók és jo- 
gosultságok kezelése. Korábbi IIS-verziókban 
csak az NT Security-adatbázis vagy az Active 
Directory szolgált felhasználói adatbázisként, 
azaz csak Windows-hitelesítésünk volt. 

Ez intranetes környezetben kézenfekvő vá- 
lasztás, hisz a felhasználók úgyis részei a tar- 
tománynak. Internetes környezetben viszont 
nem szívesen veszünk fel új felhasználókat 
a Windows adatbázisába, csak hogy hozzá 
tudjanak férni az FIP- vagy a webszerverhez. 
Ebben az esetben valamilyen alternatív fel 
használói adatbázisra van szükségünk, leg- 
gyakrabban valamilyen relációs adatbázist 


szoktunk erre a célra használni. 


Microsoft TechNet 

















eg Management Service 


Use this feature to configure how clients connect to this server by using remote connections in IIS Manager , 
NM Enable remote connections 
Identity Credentials 


C Windows credentials only 





l (6 Windows credentials or IIS Manager credentials] 





Connections 


IP address: Port: 

[1 Unassigned r] [172 

SSL certificate: 

[/vMsvc-WIN-BP2YSAV1OJN bó ] 

7 Log reguests to: 

ffegystemDrivesetlnetpubilogstwMsve Browse l 

IPv4 Address Restrictions 

Access for unspecified clients: 

[dllow r] 

(Mode ÍRegyestr a] Alow...  ] 
Deny.. I 
Delete I 














7. ábra. A Management Service beállítása, 
hogy IIS-felhasználókat is használhassunk 


Mint az 5. ábrán is látható, IIS7-ben az 
Anonymous és a Basic (azaz Windows ala- 
pú) hitelesítés mellett van két új is. Az 
IlisManagerAuth egy központi konfigurációs 
állományban, az administration.configban 
tárolja felhasználókat. 

Hogy a felhasználói felületről is kezelhes- 
sük őket, a 6. ábrán látható módon fel kell 
telepíteni a Management Services-t, alapban 
ez nem települ fel. 

Ha már van Management Services-ünk, 
akkor be kell kapcsolni, hogy az IIS saját hi 
telesítését is szeretnénk használni (7 ábra). 

A felhasználók kezelésére van felhasználó 
felület, a 8. ábrán látható módon vehetünk 
fel saját IIS-felhasználókat. 

Felhasználóink az administration.config- 
ban tárolódtak. 

A másik új felhasználói adatbázisunk az 
AspNetAuth nevű provider, amely az ASP. 
NET felhasználói adatbázisára épül, ame- 
lyet ott Membershipnek hívnak. Ebben az 
a nagyszerű, hogy egy website valószínű- 


leg ugyanezen felhasználók alapján engedi 


system webServer— 
management 


a hozzáférést a védett webes tartalomhoz is, 
így egy füst alatt könnyű beállítani, hogy a 
regisztrált felhasználóknak FTP-hozzáférése 
is legyen a kívánt tartalomhoz. 

Például egy fotókidolgozó website-on re- 
gisztrálva azonnal nekifoghatunk feltölteni a 
nagyítandó képeket, mert az FIP-kiszolgáló 
felhasználhatja a website felhasználói adat 
bázisát, 

Emellett még saját szolgáltatókat is írha- 
tunk, de mivel az ASP.NET Membership ele- 
ve könnyen bővíthető, lehet, hogy érdeme- 
sebb azt kibővíteni, majd alárakni az FIP 
kiszolgálónak. Így például írhatunk (vagy 
letölthetünk) Membership providert Oracle- 
adatbázishoz, amellyel az FI P-szerver is auto- 
matikusan használhatja az Oracle-táblákban 


tárolt felhasználókat. 


NT ? 


Távoli adminisztráció 
Az előbbiekben tárgyalt IIS saját felhaszná- 
lói az adatbázisát alapvetően azért hozták 
létre, hogy ne csak Windows-rendszergazdák 
konfigurálhassák a webkiszolgálót, hanem 
Windowsban. egyáltalán nem definiált fel 
használók is képesek legyenek távolról becsat 
lakozni az IIS7-re, és egy IIS-felhasználóval és 
jelszóval hitelesítve adminisztrálni csak a sa- 
ját sitejukat vagy virtuális könyvtárukat. 
Ehhez XP és újabb Windowsokhoz le le- 
het tölteni az IIS Managert, ami egy Win- 
Forms adminisztrációs felület, pont úgy néz 
ki, mint az eddig is látott IIS Manager. 
Titkosított csatornán (HTTPS) keresztül 
csatlakozhatunk a kezelendő webkiszolgáló- 


hoz, azon belül site-hoz vagy alkalmazáshoz. 





Jogosultságkezelés 


A hitelesítés mint első fázis 
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CI CN IIS Manager 
; fasz gets ú áá €.- [-i $ 7 dd User... 
tehát eldöntötte, ismerjük-e size y Users a csi ; 
. 1.43 WIN-BPZYBAV1OJN (WIN-BP2YI ű ; w Tr rész zZelaN 
egyáltalán az FIP-re belépni FŐ Applcaton Pool ES song Blal Ő Dab 
dá Sites Name 2 2£ Remove 
szándékozó alanyt. Második ÍHÉD Defáut Web Sze MB 8 Her 
, , , , Online Help 
lépésként szabályoznunk kell, MET 7]. 
ki milyen erőforrásokhoz fér- Üser namei 
[szerenke 
het hozzá. Ezt hívják angolul Password: 
authorizationnek. Confirm password: 
s00e] 
Az FTBPkiszolgáló jogosult ü 
ságkezelése teljesen azonos az d ; Is cancel ] 





ASP.NET hasonló rendszeré- Ready 
vel. Felhasználóknak vagy fel 
használókból képzett csopor 
toknak lehet engedélyezni vagy tiltani a hozzá- 
férést, hacsak nem engedünk be mindenkit az 
Anonymous opcióval (9. ábra). Természetesen 
a jogokat könyvtáranként lehet állítani, nem- 
csak a teljes szerverre vagy site-ra. 
Csoportokat csak Windows-hitelesítés és 
ASP.NET Membership esetén használha- 
tunk, az IIS saját hitelesítésében nincs cso- 


portkezelés. 


Zauthentication defaultProvider—"ConfigurationAuthenticationProvider"— 


Zprovidersz 


add name —" ConfigurationAuthenticationProvider" type—".. ConfigurationAuthenticationProvider, . . ." /— 


C/providersz 
Zcredentialsz 


add name —" frakk" password—"CF43E029EF. . . I0OCZEAFAB1108B827 / 5 
add name—szerenke" password—"CF43E029EFE6476. . (2EAE45B82" /5 


c/tredentialsz 
c/authentication s 


Felhasználóink az administration.configban tárolódtak 
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8. ábra. Saját IIS-felhasználók kezelése 


Tehát még egyszer, nem RPC alapú a kapcso- 
lat, mint eddig, és nem csak adminok kon- 
figurálhatják az IIS-t, hanem minden egyes 
site-hoz vagy alkalmazáshoz ki lehet nevezni 
saját adminokat, amelyek csak az adott szin- 
tet képesek kezelni. Ez igen nagy előrelépés a 
sokfelhasználós helyzetekben, mint például 


a megosztott hosting környezetben. 


Egyéb újdonságok 

A végére ömlesztve tálalok egyéb hasznos 

újításokat. 

a A fájlnevek UTF.8-ban jönnek vissza, nem 
lesz gond az ékes magyar karakterekkel. 
A könyvtárlistákban szabályozható, hogy 
látszanak-e a virtuális könyvtárak. Eddig 
nem látszottak. 

a Támogatja a szerver az IPv6-ot. 

a Kibővítették a naplózást, gond esetén ez 
sokat segíthet (szerintem az SSL-támoga- 


tás fog majd sok fejtörést okozni). 
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Deny access to this content to: 
C  allusers 
C All ánonymous Users 


C specified roles or user groups: 


Example: ödmins, Guests 


(s specified users: 


Example: User1, User2 


Permissions 


M Read 
[7 write 














(El Features view [72 Content view 


a] I d 


Configuration: "applicationHost. config" 





9. ábra. Felhasználók és csoportok jogainak szabályozása 


a Beállítható, hogy a felhasználók a gyökér 
könyvtárat lássák, vagy a saját könyvtá- 
rukban találják magukat, ha belépnek a 
kiszolgálóra, illetve kiléphetnek-e a saját 
könyvtárukból a globális helyekre. 
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a A 10. ábrán látható módon sok egyéb ap- 
róság is szabályozható, például, hogy a fé- 
lig feltöltött tartalmat megtartsa-e a szer 
ver, hátha később folytatjuk a feltöltést. 


Passzív kapcsolathoz beállítható, hogy mi 








10. ábra. Finombeállítások a kiszolgáló hangolásához 


Advanced Settings kid Eg 


E (General) 
öllow UTFS True 
Bindings vadi 
ID 1 
Name Default web Site 
Physical Path 9aSystemDrive9osinetpub wwwroot 


Start áutomatically True 
E Behavior 
E Connections 
Control Channel Timeout 120 
Data Channel Timeout 30 
Disable Socket Pooling False 
Max Connections 4294967295 
Reset On Max Connections False 
Server Listen Backlog 60 
Unauthenticated Timeout 30 
E File Handling 
öllow Reading Files while Uploading False 


öllow Replace on Rename False 
Keep Partial Uploads False s! 








Keep Partial Uploads 
([keepPartialuploads] Specifies whether to keep files that have been partially 
uploaded, 








OK [ Cancel I 
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lyen porttartományban nyissa meg az adat 
csatornát a kiszolgáló, illetve hogy mi a 
külső IP-címe a tűzfalnak. A tűzfalgazdák 
örülni fognak ennek az új beállításnak. 
Soczó Zsolt 

ASP.NET MVP, MCSD, MCDBA, MCT 

http://soci.hu 

Research Engineer, Ovalification Development 
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DEAL Az adat soha ne vesszen el! 


ON ENNE Y 
A Dell volt az első a piacon, aki 
TUDTA bemutatta az ÜENSÉTE io 


E ZT ogre eloká tata átáe nt elol Tő 


DELL - Új generációs szalagos mentési megoldások PowerVault " LTO-4-120 
szalagos meghajtó 





A szalagos mentés döntő szerepet játszik manapság a tárolási és mentési tervek kidol- 
gozása során; ideális megoldást biztosít tárolási és archiválási folyamatokra. 

Az LTO-4 technológia bizonyítottan minimális kockázatot, magas szintű megbízható- 
ságot és rendelkezésre állást biztosít megfizethető áron! 





A Dell volt az első a piacon az LTO-4 technológiával; megoldásokat kínál a kis vállalko- 
zások részére, egészen az adattároló központokig. Ez az új meghajtó az első a kategóri- 
ájában, mely eszköz szintú titkosítást kínál. 584.800 Ft 


Duplázza meg mentési kapacitását és csökkentse az adattárolását a PowerVault" LTO- 
4-120 meghajtók és könyvtárak segítségével! 


PowerVault "TL2000 LTO-4 


PowerVault"" Az első LTO meghajtó égeletsáták 
LTO-4-120 szalagos meghajtó eszköz szintű titkosítással 9 
Felülmúlhatatlan teljesítmény és Az LTO-4 az első szalagos mentési 

kapacitás technológia, mely lehetővé teszi az 





eszköz szintű titkosítást, csökkentve 
a kockázatát az engedély nélküli 
- Teljesítmény: adatátvitel 120 belépéseknek az üzleti szempontból 955.000 Ft 
MB/sec kritikus adatokhoz. A kazetta 
hordozhatóságának köszönhetően, 
- Biztonsági jellemzők: WORM gyakran központtól távol (off- 
(Wright-Once-Read-Many), eszköz site) tárolják, a PowerVault" LTO-4 
szintű titkosítás 


- Kapacitás: 800 Gb natív 


megoldások egyaránt védelmet 


- Interfész: SAS 3 GB/s, FC 4 GB/s biztosítanak helyszíni (on-site) és egyéb 
(off-site) adatvesztés ellen. 


Iparági standardok 


Standardizált LTO technológia biztosítja a kompatibilitást visszamenőleg és a jövőre vonatkozóan is, valamint a szállító semle- 
gességet. Az LTO-4-120 kompatibilis az LTO-3 technológiával (olvassa és írja is az LTO-3 mentéseket), illetve olvasáskompatibilis 
az LTO-2 mediával. 


További információt a (06 1) 270 7614-es telefonszámon, a dell salesohumansoft.hu 
e-mail címen vagy a www.humansoft.hu és a www.dell.hu weboldalon kaphat. 





O Dell Computer Corporation. Ajelenhirdetésben szereplő eszközök, árak, specifikációk megfelelnekavalóságnak, deaváltoztatásjogátfenntartjuk. A Dell, Delllogó, PowerEdge, 
Latitude, Optiplex védjegyek vagy regisztrált védjegyek a Dell Computer Corporation tulajdona. Az alábbiak az Intel" Corporation vagy leányvállalatai az Egyesült Államokban 
vagy más országokban használt vagy bejegyzett védjegyei: Celeron, Celeron Inside, Centrino, Centrino Logo, Core Inside, Intel", Intel? Logo, Intel" Core, Intel" Inside, Intel" 
Inside Logo, Intel? Vijv, Intel? vPro, Itanium, Itanium Inside, Pentium, Pentium Inside, Xeon, Xeon Inside. Ajánlatunk 2007. december 31-ig, illetve a készlet erejéig érvényes! 
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SHAREPOINT: 


TARTALOMKEZELŐ 








RENDSZER 
A RICHTERNÉL 


A Richter 2006-ban határozta el, hogy megújítja honlapjának 


arculatát, és a látogatók számára nyújtott szolgáltatások körét 


bővíti a kor elvárásainak megfelelő szolgáltatásokkal. 


Célkitűzés volt az is, hogy a legfontosabb leányvállalatok 


számára is új weboldal készüljön. 


zt gondolom, hogy a Richter Gedeon Gyógyszergyárat idehaza senkinek sem kell be- 
A mutatni. Nehéz úgy híreket hallgatni, újságot olvasni vagy akár reklámot nézni, hogy 

ne találkozzunk valamilyen vonatkozásban a gyógyszeripari óriással. Talán kevesebbet 
tudunk a cég külföldi aktivitásáról, pedig világszerte számos leányvállalat, érdekeltség tartozik 
a gyógyszergyárhoz. Térségünkben ezek közül a lengyel, az orosz és a román leányvállalat a leg- 
jelentősebb. Történetünk főszereplői éppen ők: anya és leányai. 

Miután a honlap mögött álló rendszer több évvel korábban készült Microsoft Content 
Management Server alkalmazásával, ezért éppen alkalmas időben született meg a döntés a vál- 
tásról, hiszen ebben az időpontban éppen , csőben volt" a legkorszerűbb technológiákat felvo- 
nultató Microsoft Office SharePoint Server 2007 (MOSS 2007) megjelenése. 

A döntést tett követte, és a megfelelő dizájn elkészítése mellett - amelyet egy profi arcu- 
lattervező cégre bízott a Richter - az egyik első feladat az volt, hogy kiválasszák azt a part 
nert, amelyiket a leginkább alkalmasnak találnak a célok megvalósítására. A kiválasztásban 
a Richternek a Microsoft Magyarország is segítséget nyújtott. A szempontrendszerben nagy 
szerepe volt az adott cég szakmai tapasztalatának a SharePoint alapú rendszerek területén, il 
letve általában a webes tartalomkezelés megvalósításában. A céges referenciák mellett sokat 
nyomott a latban a nevesített szakemberek önéletrajza, szakmai múltja, például az elért minő- 
sítések is. 

A kiválasztási folyamat végén több jelentkező közül a Richter a Grepton Zrt. ajánlatát ítélte 


a legjobbnak. Ennek nagyon örültünk, mivel a 200Les és 2003-as SharePointverzió kapcsán 


kö 


SsREPTON 
INFORMATIKAI ZRT. 


szerzett tapasztalatainkra építve a MOSS 
2007-tel is már a második bétafázis óta inten- 
zíven foglalkoztunk. Úgy éreztük, végre egy 
valóban komoly projekten kamatoztathatjuk 
az eddig főleg tesztlaborban vagy kisebb fel 
adatokon kipróbált ismereteinket. 

Azt már a bétával való ismerkedés so- 
rán is hamar sikerült realizálni, hogy ez a 
SharePoint bizony jóval többet tud elődjei 
nél, így például az indulásnál kifejezetten jól 
jöttek a Content Management Server kap- 
csán évekkel korábban végzett kutatásaink. 
Sajnos a termék kapcsán kezdetben rend- 
kívül szegényes dokumentáció állt rendelke- 
zésre, így - akár a nagy földrajzi felfedezők 


- újra és újra átélhettük a felfedezések, a rá- 


Microsoft TechNet 
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csodálkozás mással össze nem keverhető ér 
zését. Ebben az időszakban a kísérletezés és a 
Reflector mellett csupán néhány lelkes blog- 
ger publikációjára támaszkodhattunk, ha a 
valódi technikai mélységekre, összefüggések- 


re voltunk kíváncsiak. 


Ember tervez 

A szerződéskötés körüli jogi procedúrák le- 
zárásával 2006 végén elindulhatott a mun- 
ka. Természetesen már az ajánlat előkészí- 
tése során alaposan elmélyedtünk a pontos 
igények felmérésében, megterveztük, melyik 
problémára milyen SharePointeszközzel le- 
het optimális megoldást adni, sőt a legkriti- 
kusabb funkciókra deszkamodelleket is készí- 
tettünk. Ezzel biztosítottuk egyfelől azt, hogy 
a Richter igényei a gyakorlatban is megoldha- 
tók a kiválasztott eszközzel, másrészt magun- 
kat is védtük, nehogy olyat vállaljunk, amiről 
később kiderül, hogy technikailag nem, vagy 
csak a tervezett ráfordítások jelentős átlépé- 
sével lehet megvalósítani. 

A korábbi egyeztetések eredményeit fel 
használva a megvalósítás az igények és az erre 
épülő tervek dokumentálásával kezdődött. A 
mi feladatunk elsősorban az alkalmazásspe- 
cifikus funkciók megtervezése volt. 

A tervezés során kellett definiálni töb- 
bek között a weblap oldalstruktúráját, a fel 
használható tartalomtípusokat és az ezekhez 
tartozó oldalsablonokat (például értelemsze- 
rűen külön elrendezést kaptak az általános 
cikk mellett a sajtóközlemények, az állás- 
hirdetések és a termékadatlapok), valamint 
a rendszer által kiküldendő értesítő levelek 


tartalma. 


Testre szabás és/vagy fejlesztés 

A tervezés során többször kerültünk olyan 
döntési helyzetbe, ahol arról kellett határoz- 
nunk, hogy egy adott funkciót a SharePoint 
beépített eszközeivel vagy egyedi fejlesztéssel 
oldunk-e meg. Ilyenkor legtöbbször igyekez- 
tünk kompromisszumos megoldásokra töre- 
kedni. Amennyiben az igényelt funkció meg- 
engedte, törekedtünk az igényt a termék test 
re szabott képességeihez igazítani. Viszont ha 
a funkció a szükséges mértékben nem idomul 
hatott a képességekhez, nyitottak voltunk az 
egyedi megoldásokra is. Mivel a projektcsapat 
alapvetően fejlesztői háttérrel rendelkező szak- 
emberekből állt össze, nem okozott számunk 


ra lelki törést, ha egy probléma megoldásá- 


NOVEMBER-DECEMBER 


hoz el kellett indítanunk a Visual Studiót. 
Igyekeztünk viszont kerülni az öncélú, Vart 
pour l art jellegű fejlesztéseket, mivel hisszük, 
hogy a beépített eszközök ismeretével, haszná- 
latával rövidebb idő alatt, költséghatékonyabb 


módon, stabilabb eredményt lehet elérni. 


Infrastruktúra-kialakítás Microsoft- 
segítséggel 

Az infrastruktúra tervezését a Richter [[/ 
szakembereinek bevonásával a projekt során 
minőségbiztosítási szerepet is betöltő Micro- 
soft Magyarország szakértői végezték, termé- 
szetesen mindvégig konzultálva velünk arról, 
hogy az egyes alternatívák hogyan érinthetik 
a rendszer tervezett funkcióit. 

Végül a következő infrastruktúrajavasla- 
tot fogadta el a megrendelő. A belső háló- 
zaton kap helyet a szerkesztőségi rendszer 
funkcióját ellátó MOSS 2007. Ebben a kör 
nyezetben hozzák létre az új oldalakat a 
szerkesztőségi dolgozók, itt töltik fel a kap- 
csolódó képeket, dokumentumokat. A hon- 
lap ,arca", azaz a webes látogatók számára 
elérhető publikációs rendszer egy másik, a 
DMZ-ben elhelyezett MOSS 2007-példány. 
A tartalmak szinkronizációját a két rendszer 
között a SharePoint beépített content deplov- 
ment szolgáltatása biztosítja automatikusan. 
A két környezet két külön tartományt is je- 
lent, amelyek a levelezés támogatására saját 
SMIP, illetve Exchange-szerverrel rendelk 
keznek. A rendelkezésre állás biztosítására a 
DMZ-be került egy hideg tartalékrendszer is. 
A tartalom átmozgatása erre a rendszerre a 
Microsoft Magyarország szakértői által kidob 
gozott módszerrel történik. 

Az anyavállalati és a leányvállalati honla- 


pok külön SharePointalkalmazásként való- 
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sultak meg. Ez egyfelől függetleníti az egyes 
rendszerek élesbe állítását, és - bár jelenleg 
közös hardveren futnak - a jövőben egysze- 
rűbbé teszi az előforduló terhelésnövekedés 
esetén az egyes webhelyek átmozgatását kü- 
lön hardverre, egyszóval skálázhatóvá teszi 
a rendszert. 

Tekintettel a tervezett élesbe állítási fo- 
lyamatokra, kidolgoztunk egy olyan munka- 
módszert, amely lehetővé tette a párhuza- 
mos fejlesztést, tesztelést és éles üzemet. Az 
ehhez szükséges infrastruktúrát a Richter 
biztosította. Ennek megfelelően elkészült a 
teljes éles rendszernek egy-egy másolata fej- 
lesztői, illetve tesztkörnyezetként. A fejlesztői 
rendszert, amely az éles rendszeren tapasztalt 
problémák javításának színtere, egyúttal az 
új funkciók telepítésének első lépcsője, mi 
tartjuk karban a Richter szakembereinek tá- 
mogatásával. A tesztrendszeren konfigurá- 
ciómódosítást, telepítést már csak a Richter 
üzemeltetési szakemberei végezhetnek az álta- 
lunk kiadott leírások alapján. Itt zajlik a do- 
kumentált tesztelés. Amennyiben a kiadott 
csomag funkcionalitása megfelelő, felkerül 
het az éles környezetre, természetesen ebben 
az esetben is kizárólag a Richter üzemeltetői 


nek közreműködésével. 


Hogy a biztonságról se 

feledkezzünk meg 

Már a tervezési fázistól kezdődően kitünte- 
tett figyelemmel kezeltük a biztonsági kérdé- 
seket. Ez egyaránt vonatkozik a tartalom lét 
rehozására szolgáló szerkesztőségi rendszer- 
re, ahol jóváhagyási folyamat szabályozza az 
oldalak megjelenítését, illetve az internetes 
látogatók számára elérhető publikációs rend- 


szerre, ahol pedig regisztrációjuktól függően 
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a felhasználók különféle publikus vagy vé- 
dett tartalmakat kezelhetnek. 

A belső rendszeren a felhasználók Win- 
dows-integrált módon érik el a szerkesztőségi 
rendszert, míg a külső rendszerben a pub- 
likus tartalmakhoz nevesítés nélkül, a vé- 
dett tartalmakhoz pedig űrlap alapú azono- 
sítást használva férnek hozzá a felhasználók. 
Utóbbi esetben a felhasználói adatok az ASP. 
NET 2.0 saját adatbázisában tárolódnak. Egy 
ilyen megoldás a korábbi SharePoint esetén 
meglehetősen körülményes lett volna. Szeren- 
csére a 2007-es verziónál - hála az ASPNET 
2.0 alapoknak - ez nem okoz komoly kihí- 
vást, a többféle azonosítási módot akár vegye- 
sen is alkalmazhatjuk egy webhely esetén. 

Magát a regisztrációt egyedi vezérlők se- 
gítségével, titkosított csatornán keresztül va- 
lósítottuk meg. Itt érdekesség, hogy a fel 
használói regisztrációk jóváhagyása történhet 
automatikusan, egy külső adatbázis adataival 
történő összehasonlítás alapján, illetve lehe- 
tőség van a kézi elbírálásra is. Utóbbit egy 
- a publikációs rendszerhez kapcsolódó - ad- 
minisztrátori webhely készítésével oldottuk 
meg. Ennek megvalósításához felhasználtuk a 
MOSS 2007 Enterprise verziójának Business 
Data Catalog (BDOC) funkcióját is. 

Ügyelnünk kellett arra is, hogy a publi- 
kációs rendszer látogatói ne tudják elérni a 
standard MOSS 2007-oldalakat, csupán a 
szerkesztőség által feltöltött cikket. 


Adunk a megjelenésre 

Mint korábban említettem, a honlap arculatát 
készen kaptuk egy erre a feladatra szakosodott 
csapattól. Mivel ez a gyakorlatban egy arcula- 
ti kézikönyvet és pár képernyőtervet jelentett, 
még további munkával járt, hogy a korábban 
jól ismert megjelenés SharePointról köszönjön 
vissza ránk. Ehhez előbb jó érzékkel fel kellett 
darabolni a képernyőtervként kapott grafi 
kát, az arculati kézikönyv alapján létrehozni a 
CSSsstíluslapokat, majd az egészet egy mester- 
oldalként elkészítve ráhúzni a SharePointra. 
Hogy mindebbe egy kis dinamizmust is csem- 
pésszünk, elkészítettük a bal oldali, harmont 
kaszerűen működő menüt is a Richter által 


meghatározott menüstruktúrára. 


Azok a mesteri mesteroldalak 
Azt már az ASP.NET 2.0 gyorstalpaló példái 
ból megismertük, mennyire hasznosak lehet 


nek a mesteroldalak a webes alkalmazások 


ké 


megjelenésének testre szabásában. Különö- 
sen igaz ez, ha az alaposztályokból származ- 
tatva egy kis logikát is viszünk be a rendszer- 
be arra vonatkozólag, hogy egy oldal a kon- 
textustól függően el tudja dönteni, milyen 
keretben jelenjen meg. 

Ilyen megoldással sikerült megvalósítani 
a nyomtatható változatot, amikor ugyanaz 
a tartalom a szokásos menüstruktúra nél 
kül, csak fej- és lábléccel jelenik meg, de ez 
áll az akadálymentes változat mögött is, ahol 
ugyancsak egy példányban létezik a tarta- 
lom, és a mesteroldal gondoskodik a vakok 
és gyengén látók számára megfelelő formá- 
zásról. Utóbbi esetében különösen jól esett 
az érintetteket tömörítő egyik szervezettől az 


élesbe állást követően kapott elismerés. 


Vissza a grafikus verzióra 
Vissza egy szintet. . . 
Vezérigazgatói köszöntő 


el-igiia tet Etele 

Kereskedelem és marketing 
Minőségbiztosítás 
Nőgyógyászat 


A Richter története 


A Richter Gedeon Nyrt.-t, Magyarország egyik vezető gyógysze 
alapította a nevét adó gyógyszerész, aki ezzel nemcsak a cég, hanen 
gyógyszeripar alapjait is megteremtette. 


A kisüzemi gyártás színhelye a még ma is működő, Üllői úti 
Magyarországon ez idő tájt indult fejlődésnek az önálló gyól 
gyógyszergyártás, Az ipari szintű gyógyszertermelés olyan mértél 
amely akkoriban a nyugati világban is ritka volt. A Sas gyógyszert 
laboratóriumban kezdetben állati szervkivonatokból organoterápiá 
állítottak elő 


Akadálymentes változat — , fehéren feketén" 





Korábban a betűméretet változtató funk- 
ciót is mesteroldalak segítségével próbáltuk 
beállítani, de az eredmény ebben az esetben 
nem teljesen felelt meg az elvárásainknak, így 


maradt a már bevált kliensoldali megoldás. 


Többnyelvűség 

Valamennyi webhely esetén elvárás volt a 
többnyelvűség. Ez az anyavállalatnál a ma- 
gyar mellett az angol és orosz nyelvet jelentet 
te, míg a leányvállalatnál az anyanyelvi verzió 
mellett minden esetben az angol jelenik meg 
második nyelvként. 

A MOSS 2007 az úgynevezett variációk al 
kalmazásával, beépített módon támogatja a 
nyelvi változatokat, azonban ez a támogatás 
abban az esetben ideális, ha a tartalom a két 
vagy több nyelven megegyezik, de legalábbis 
nagy átfedést mutat. Ekkor egy kiválasztott 
elsődleges nyelven létrehozott tartalmak for- 
dítását a többi nyelvre a rendszer beépített 
fordítási munkafolyamattal támogatja. Saj- 
nos az önálló fordítás még nem működik, ta- 


lán majd a következő verzióban. 
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Esetünkben nem erről volt szó, a magyar, 
illetve a többi anyanyelvi verzió többnyire je- 
lentősen bővebb tartalmat takart, mint a má- 
sodlagos verziók, így nem éltünk a variációk 
adta lehetőséggel. Ehelyett az oldalsablono- 
kat, egyedi vezérlőket készítettük el úgy, hogy 
dinamikusan, a látogatott oldal URL/e alap- 
ján érzékeljék, milyen nyelvű verzión járunk, 
és az ennek megfelelő nyelvű erőforrás fájlból 
olvassák fel a nyelvspecifikus szövegeket és 
képeket. Ezáltal valamennyi nyelvi verzióban 


használható oldalsablonokat kaptunk. 


Dinamikus vezérlők 

A felületen megjelenő egyedi fejlesztésű ve- 
zérlő jelentős része SharePointlistákból ál 
lítja össze a tartalmát. Ezekben az esetekben 
a szerkesztőségi munka a listaelemek módo- 
sítását jelenti. Ilyen vezérlő például az oldal 
tetején látható , Richter világszerte" lenyíló 
lista, ahol a megjelenített vállalatok neve és 
az ezekhez tartozó, az elem kiválasztásakor 
megnyíló oldal címe egy SharePointlista ele- 
meiként tárolódnak. 

Hasonló elven működik a Richterrérde- 
keltségeket a világtérképen ábrázoló vezérlő, 
ahol az üres térképet tartalmazó grafikára 
dinamikusan, szerveroldalon kerülnek fel a 
képviseleteket jelképező pontok, illetve a fel 
használók klikkelését kezelő image map hot 
spotok is, mindez egy másik SharePointlistá- 
ban tárolt érdekeltségi lista alapján. Persze ha 
ma kapnánk meg ezt a feladatot, könnyen le- 
het, hogy egy ennél látványosabb eredményt 
tudnánk elérni Silverlight alkalmazásával, de 
hát gyorsan változik a technológia: amikor a 
megoldást le kellett tenni az asztalra, ez a név 
még nem forrt össze mai jelentésével. 

A jobb oldali oszlopban levő bannerek és 
gyorslinkek ugyancsak dinamikusan jelení- 
tődnek meg. Ebben az esetben a szerkesztők 


egy listában rendelhetik hozzá a bal oldali me- 
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nü elemeihez a megjelenítendő képet, flash- 


animációt vagy tetszőleges HIML-tartalmat. 


Aki keres, az talál 

Egy összetettebb webhely esetén hasznos, ha 
az információk megtalálását kereső támo- 
gatja. Így van ez esetünkben is, ahol a Share- 
Point beépített indexelő- és keresőmotorját 


használtuk fel az alapkeresések esetén. 
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Keresési találatok — Most jó lenni vegyésznek! 


A keresőnél sokkal hatékonyabb megoldás 
lehet, ha a felhasználók érdeklődése alapján 


megcélzott tartalmi csomagokat készítünk. 


Megcélzott tartalmak 

Ennek egyik klasszikus módja a hírlevél. A 
Richter honlapjánál a sajtó regisztrált képvi: 
selői rendszeres időközönként ezen a csator 
nán értesülhetnek az őket érintő legfrissebb 
információkról. A hírlevél technikai megvaló- 
sítására több megoldás is született. Az erede- 
tileg használt, a beépített értesítésekre épülő 
változatot végül is lecseréltük egy egyedi fej- 
lesztést is tartalmazó megoldásra, ahol a hír 
levelek ütemezése, a tartalom és a forma meg- 
határozása a beépített eszközt használó meg- 
oldáshoz képest szabadabban konfigurálható. 
Nem volt mellékes szempont az sem, hogy ez a 
megoldás jobban illeszkedett a Microsoft által 
kidolgozott hideg tartalékmegoldáshoz is. 

A hírlevél mellett a honlapon megtalálha- 
tó az elmúlt évek során elterjedt RSS-csator- 
na alapú értesítés is. A honlap számos ilyen 
csatornával rendelkezik, amelyek közül a lá- 
togatók feliratkozhatnak az őket érdeklőkre. 
Ezt követően saját RSS-olvasójukon (például 
Outlook 2007, Internet Explorer 7.0) keresz- 
tül kapnak értesítést a változásról. A tartalom 
feltöltésekor a szerkesztők megadhatják, hogy 
az adott cikk mely csatornákban jelenjen meg, 


ilyenkor a csatornák tartalma automatikusan 


bővül az új elemmel. A MOSS 2007 több pon- 
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Ön a Richter Gedeon RSS csatornáit látja. 
Mi az RS57 


Ön az alábbi csatornák közül választhat: 


HJÉves jelentések 

FilNegyedéves jelentések 
FöjNegyedéves prezentációk 
FiSajtóközlemények 

AiTőzsdei és rendkívüli jelentések 
FijKközgyűlési meghívó 

Fülközgyűlési konszolidált prezentáció 
FilKközgyűlési anyavállalati prezentáció 
EHjosztalékfizetési határozatok 
FülBefektetői konferenciák 
FülBefektetői roadshowk 
EjTámogatási hírek 


FölLaikus pályázatok 











Idei sajtóközlemények 

2007. 10. 29 - Átadták az idei Rátz Tanár Úr Életműdíjakat 

2007. 10. 16-A RICHTER GEDEON NYRT. ÉS A FOREST LABORATORIES, INC. 
KÖZLEMÉNYE AZ RGH-188 SKIZOFRÉN BETEGEK KÖRÉBEN VÉGZETT 
FÁZIS II/B KLINIKAI VIZSGÁLATÁNAK EREDMÉNYEIRŐL 

2007. 10. 15  Sajtóközlemény 

2007. 10. 09 - Ranyus  elisrnerés és pénzjulalurn kérnialartárukriak Richiler Geleuri ad 
Magyar Kémia Oktatásáért 

2007. 08. 30 - Új készítménnyel bővült a Richter kardiológiai portfoliója 

2007. 04. 20 - Év gyógyszere 2006 

2007. 02. 20 - Sajtóközlemény 


2007. 07. 03-A Richter megkapta az FDA engedélyét  terbinafin-hidroklorid 
hatóanyagú készítményére 
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fla Richter Gedeon Rt. értékesítette üzletrészét 
€laángliai törzskönyvi engedélyt kapott a Richter Gedeon Rt. 














Élsajtóközlemény 
FilkKutatóink cikkeiből Éj sajtóközlemény 
RSS — hecsatornázva Osszesítő nézetek 


ton nyújt támogatást az RSS-csatornán keresz- 
tüli tartalomszolgáltatásra, megoldásunk egy 
ilyen komponens testre szabásával készült el. 

A tartalom megcélzásának másik módja a 
webkijelzők és cikkek célközönséghez rende- 
lése. Ezzel a megoldással lehetőségünk nyílt 
arra, hogy a honlap felületén egyes eleme- 
ket csak bizonyos felhasználói csoportoknak, 
például orvosoknak jelenítsünk meg, míg 
a nem nevesített felhasználók vagy a sajtó 
munkatársai számára az adott tartalom rejt 


ve marad. 


Összesített tartalmak 

Rendkívül hasznos, ha a honlap tartalmaz 
összesítő nézeteket, amelyekben automatiku- 
san frissülnek a tartalmak. Így például az 
új álláshirdetés egyből megjelenik a koráb- 
bi hirdetések között, mindenféle szerkesztői 
munka nélkül. 

A MOSS 2007 egyik újdonsága a Content 
by Cuery webkijelző, amellyel - sokoldalú 
felhasználhatósága kapcsán - igazán szoros 
barátságot kötöttünk a projekt során. Ezzel 
az eszközzel gyerekjáték a honlapon levő tar- 
talmak összesített megjelenítése, például a 
tartalomtípus- vagy az álláshirdetés-példánk- 
nál maradva, a munkavégzés helye alapján. 
Nem utolsósorban az említett webkijelző 
testre szabásával sikerült megoldani az előző 
pontban említett RSS-csatornákat, amelyek 
önmaguk is egyfajta speciális tartalom össze- 
sítéseként foghatók fel. 

Azokban az esetekben, ahol összetettebb 
logikát vagy megjelenítést kellett alkalmazni, 
egy saját fejlesztésű komponenst vetettünk 
be, ezzel készültek például az évenkénti fa- 


struktúrát használó archívumok. 


A regisztráció kapcsán már megemlítet 
tünk egy külső rendszert, amellyel a honlap 
kapcsolatban van. Ez egy előfizetés alapú 
szolgáltatás HIT P-kapcsolaton keresztül el 
lenőrizhető, hogy az egészségügyi regisztráció 
során megadott adatok (például név, születési 
dátum és pecsétszám) megfelelnek-e a hivata- 


los nyilvántartásban szereplő értékeknek. 


Külső kapcsolatok 

Szintén külső szolgáltatón keresztül kapja a 
rendszer a tőzsdei adatokat és ezek statikus 
grafikonjait. Webes rendszerről lévén szó, a 
kapcsolat során használt csatorna ebben az 
esetben is a HTIP. A honlap ezeket az adato- 
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Árfolyamok — mozgásban az üzlet 


kat feldolgozást követően lokálisan is tárolja, 
ezáltal akkor is tudja szolgáltatni a látoga- 
tóknak, ha a külső szolgáltató esetleg nem 


érhető el. 


Riportok, statisztikák 

A rendszer több helyen tartalmaz olyan kom- 
ponenseket, amelyek célja valamiféle statiszti- 
kák nyújtása a felhasználóknak. Mivel az MS 
SOL Server 2005 mint a SharePointadatbá- 
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zis kiszolgálója már adott volt, ezért érthető, 
hogy a statisztikák megjelenítésére ennek Re- 
porting Serverkomponensét használtuk fel. 

Az egyik ilyen funkció az internetes látoga- 
tóknak szóló archív Richterrészvényárfolyam. 
Ebben az esetben az árfolyamok kapcsán már 
említett szolgáltatás által összegyűjtött adatok 
jeleníthetők meg grafikus formában a kiválasz- 
tott időintervallum és tőzsde függvényében. 

A másik fő csoportba a szerkesztőknek 
szóló látogatói statisztikák tartoznak. Ahhoz, 
hogy a webhely tartalmát a felhasználók igé- 
nyeihez lehessen igazítani, hasznos, ha tudjuk, 
mely oldalakat látogatják, honnan jönnek, mi- 
re keresnek a felhasználók. Ennek követésére 
a SharePoint számos beépített eszközt tartal 
maz. A beépített adatgyűjtő szolgáltatásokat 
mi egy továbbfejlesztett, összetettebb szűrést 


is lehetővé tevő felülettel egészítettük ki. 


Interaktivitás 
A honlapot igyekeztük úgy tervezni, hogy ne 
csupán egyirányú adatszolgáltatásra legyen 
alkalmas, hanem a felhasználók is képesek 
legyenek a megjelenő tartalmak befolyásolá- 
sára vagy a tartalommal kapcsolatos vissza- 
jelzésre. Előbbire jó példa a korábbiakban 
említett világtérkép és az archív részvényár- 
folyamokat kezelő funkció. 

A tartalommal kapcsolatos visszajelzésnél 
a felhasználóknak természetesen lehetőségük 
van üzenetet küldeni a szerkesztőségnek, de 
ezenkívül az aktuális álláshirdetésekre is je- 


lentkezhetnek. Ilyen esetekben a jelentke- 


m Állásjelentkezés 


e A Jelentkezéshez kérjük, adja meg az alábbi adatokat. A kötelező mezőket 
t-gal jelöltük. Jelentkezéséről a rendszer automatikus visszajelzést küld a 
megadott elektronikus levélcírnre. A két csatolt fájl egyuttes mérete nem 
haladhatja meg az 5 MB-ot. 
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Jelentkezzünk vegyésznek! 
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zéshez használt űrlap automatikusan a kivá- 
lasztott állás alapadataival töltődik fel, az el 
küldött jelentkezést pedig az álláshirdetésnél 


megadott kapcsolattartó személy kapja meg. 


Az élesbe állás 
A fejlesztés befejezése és az élesbe állás kö- 
zötti idő sem telt el munka nélkül. Ennek az 
időszaknak volt feladata egyfelől a dokumen- 
tált tesztelés, másrészt a tartalmak feltöltése. 
Mindkét tevékenységet a Richter üzleti fel 
használói végezték. Mivel a tartalomfeltöltés 
a tesztrendszeren történt, ezért megoldást kel 
lett találni, hogy a kezdeti tartalmak áttöltőd- 
jenek az éles rendszerre. Ugyancsak gondos- 
kodni kellett a korábbi archív tőzsdei adatok 
és a termékadattár feltöltéséről is. Mindezek 
nélkül a honlap, a webes szerkesztőségi rend- 
szer csupán egy üres keretrendszer lett volna. 
Ezekhez a feladatokhoz mi egyszerű, saját 
fejlesztésű eszközöket készítettünk, amelyek 
a telepítőkészlet részét képezték. A korábbi 
rendszerről tartalomáttöltés vagy felhasználó- 
migráció nem volt feladata a projektnek. 
Közvetlenül az élesbe állást megelőző hetek- 
ben a régi és új rendszer párhuzamosan műkö- 
dött, így lehetőség volt a végleges helyen tesz- 
telni a rendszer funkcióit és nem utolsósor- 
ban stabilitását. Ennek kapcsán a Microsoft 
Magyarország szakemberei terhelési tesztek: 
nek is alávetették az alkalmazást, amely az el 
várásoknak megfelelően állta a sarat. Így elhá- 
rult az akadály a két rendszer felcserélése elől. 
Szeptember elején a régi rendszer végleg nyug- 
díjba vonult, helyét és a www.richter.hu címet 
az új MOSS 2007 alapú megoldás vette át. 


Jelen és jövő 
A régi mondás, miszerint , evés közben jön 
meg az étvágy , a projekt során újból beiga- 


zolódott. Még le sem zárult a tervezési fázis, 
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A honlap nyitólapja 
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már újabb és újabb ötletek születtek, hogyan 
lehetne a végeredmény még szebb, még hasz- 
nálhatóbb. A felmerült igényeket folyamato- 
san priorizáltuk fontosságuk és a megvalósí- 
tás munkaigénye alapján. Azokat az igénye- 
ket, amelyek fontossága igazolta a szükséges 
munkát, lehetőség szerint változáskezeléssel 
beépítettük a projektbe, a többi ötletet pedig 
parkolópályára helyeztük azzal, hogy az első 
fázis lezárását követően visszatérünk rájuk. 

Jelenleg a legfontosabb munkák a leány- 
vállalatok élesbe állításával kapcsolatosak. 
A közelmúltban fejeződött be a külföldi szer- 
kesztők oktatása, ezt követi majd a tartalom- 
feltöltés és a webhelyek publikálása. 

Ezzel párhuzamosan megkezdődött a je- 
lenlegi funkciók bővítésének tervezése, meg- 
valósítása is. Elképzeléseink szerint ezeket a 
funkciókat kisebb csomagokban adjuk ki, 
ezzel próbáljuk követni az üzleti oldal gyor- 
san változó igényeit, másrészt így a felhaszná- 
lóknak nem kell hónapokat várniuk egy-egy 
újabb funkcióra. Mivel látják, hogy a honlap 


él, változik, így folyamatosan fenntarthatjuk 


érdeklődésüket. 


Tanulságok 

Természetesen mindig komoly kihívás az is- 
merkedés egy új termékverzióval. Nem volt 
ez másként esetünkben sem. Hogy ezeknek a 
kihívásoknak megfeleljünk, szükség volt szak- 
embereink felkészültsége mellett a Microsoft 
Magyarország szakértőivel való szoros együtt 
működésre is, és adott esetben nem riad- 
tunk meg a technológiai problémák eszka- 
lálásától sem. Microsoft Gold partnerként 
számos ilyen eszkalációs csatorna áll rendel 
kezésünkre, így olyan információkhoz és javí- 
tócsomagokhoz is hozzájuthattunk, amelyek 
a nyilvánosság számára csak több hónapos 
késleltetéssel váltak elérhetővé. 

Azoknak pedig, akik még esetleg nem vág- 
tak bele a MOSS 2007-tel való ismerkedés- 
be, azt javaslom, hogy ne rettenjenek meg 
az első (és sokadik) ránézésre ijesztően sok 
funkciótól, lehetőségtől. Bátran kezdjenek 
kísérletezni a termékkel, ezt megkönnyíti az 
elmúlt év során a termékről megjelent szá- 
mos könyv, illetve a Microsoft partnercégei- 
nél - így a Greptonnál is - felhalmozódott 
kompetencia. 

Holbár Péter 
(pholparcogrepton.hu) 
MCTS, Grepton Informatikai Zrt. 


Microsoft TechNet 


Office-tlanfolyamok, informatikusoknak is! 
Teljeskörű Office-oktatás a NetAcademiánál 


A Microsoft Office alkalmazások megfelelő ismerete nagyban hozzájárul a mindennapi 
irodai munka hatékonyabbá és eredményesebbé tételéhez. Ennek ellenére a legtöbb 
felhasználó a rendelkezésére álló lehetőségeknek csupán töredékét ismeri és használja. 
Pedig néhány kattintás a megfelelő helyen kisebb , csodákra" lehet képes... 


Office-tanfolyamok minden igényre 


A NetAcademia hivatalos Microsoft oktatóközpontként Office-tanfolyamok" széles 
választékával bővítette tanfolyamkínálatát. 


Excel, Access, Word, PowerPoint és Outlook 


Tanfolyamok felhasználóknak: 
u kezdőknek és rutinos felhasználóknak egyaránt, 
u a 2003-as és a megújult 2007-es verzióban is, 
u gyakorlati, napi feladatokra összpontosító példák. 


Office-programozás: 


un felhasználói és fejlesztői szinten (makrók, VBA, 
VBE, VBS, beépülők, saját függvények, ODBCO). 


InfoPath, Project, Visio és SharePoint ez S agi 


j j GAY ene ú deeélz Excel-használók Használt funkciók 
A Microsoft Office további irodai alkalmazásainak 


elsajátításához szükséges tanfolyamok szintén 
megtalálhatók a NetAcademiánál. 


Az Excel esetében a felhasználók 95 96-a 
az alkalmazás funkcióinak csupán 5 96-át használja. 





A SharePoint esetében a teljeskörű tanfolyamkínálat mellett (rendszergazdai, fejlesztői, 
felhasználói tanfolyamok) szaktanácsadással is ügyfeleink rendelkezésére állunk. 


További információ a www.netacademia.net/office oldalon. Egyedi igény esetén kérjük, keresse 
Szántó Zoltánt (tel.: 1/472-1214). 


tA tanfolyamok a szakképzési keret terhére elszámolhatók. 


Net ACADEMIA 


A LEGJOBBAKAT TANÍTJUK. 


T "7 Microsoft" 
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A Microsoft System Center termékcsaládja 

az IT rendszerfelügyeleti megoldásokat fogja össze 

(a család része a megújult Operations Manager és 

a Systems Management Server is). A System Center 
termékek segítségével az informatikusok munkája 
könnyebbé és hatékonyabbá válik. Ezzel a megoldással 
még a legnagyobb vállalatok informatikai 
infrastruktúrája is könnyedén felügyelhető. 


A jól felügyelt rendszer pedig segíti a vállalat 
felhasználóit mindennapi munkájuk elvégzésében 
— így az IT végre igazán stratégiai eszközzé válik. 
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